Aula 09

Tecnologia da Informação (parte I) p/ Analista de TI do MPOG - Com videoaulas

Professor: Victor Dalton

01624136451 - Luis

Tecnologia da Informação para MPOG
Analista de TI PGPE
Prof Victor Dalton Aula 09

AULA 09: Segurança da Informação
SUMÁRIO

PÁGINA

1. Norma ISO 27002
2. Norma ISO 27001
3. Gestão de Continuidade de Negócios
Exercícios Comentados
Considerações Finais
Exercícios
Gabarito

2
12
19
24
43
44
55

Olá pessoal, voltei!
Nessa aula vamos arrematar o assunto Segurança da Informação
abordando as normas ISO 27002 e 27001. Aqui nossa abordagem é um pouco
diferente.
Na Internet, você consegue baixar e estudar as normas. Portanto, nosso
trabalho é transmitir o “espírito da norma”, e mostrar como esse conteúdo é
cobrado em provas, para que você possa acertar questões.
Observação Importante: Devido à não especificação em edital da versão
das ISO 27001 e 27002 (e a ausência de exercícios das versões mais novas
dessas normas, vamos lançar à parte, em aula extra, um PDF com as novidades
das novas versões)

Vamos lá?

01624136451

Observação importante: este curso é protegido por direitos
autorais (copyright), nos termos da Lei 9.610/98, que altera,
atualiza e consolida a legislação sobre direitos autorais e dá
outras providências.
Grupos de rateio e pirataria são clandestinos, violam a lei e
prejudicam os professores que elaboram os cursos. Valorize o
trabalho de nossa equipe adquirindo os cursos honestamente
através do site Estratégia Concursos ;-)

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

1 de 55

Tecnologia da Informação para MPOG
Analista de TI PGPE
Prof Victor Dalton Aula 09
SEGURANÇA DA INFORMAÇÃO

1. NORMA ISO 27002

1.1

Considerações iniciais

O estudo de Segurança da informação envolve várias frentes. Uma delas,
que corresponde à gestão de política de segurança a ser adotada por uma
organização, para proteger os seus ativos e recuperar-se de um desastre, é
norteada pela NORMA ISO/IEC 27002, que é um Código de Prática para a Gestão
da Segurança da Informação.
A ISO/IEC 27002 recebeu a atual numeração em julho de 2007. É uma
norma de Segurança da Informação revisada em 2005 pela International
Standards Organization e pela International Electrotechnical Commission,
chamada anteriormente de ISO/IEC 17799. A versão original foi publicada em
2000, que por sua vez era uma cópia fiel do padrão britânico BS 7799-1:1999.
A ISO/IEC-17799 tem como objetivos a confidencialidade, integridade e
disponibilidade das informações, os quais são fatores muito importantes para
a segurança da informação.
Enfim, vamos passar por algumas ideias da norma, procurando destacar os
procedimentos que mais aparecem em prova. Além disso, esta análise
despertará o seu senso crítico em relação ao “espírito” da norma, fazendo que o
seu bom senso possa colaborar para acertar questões sobre o assunto.
01624136451

Vamos lá?

1.2

Introdução

A norma ISO 27002 ressalta que a informação é um ativo muito valioso
para uma organização. Diferentemente de outros ativos, ela pode ser impressa,
escrita em papel, armazenada em via eletrônica, ou até mesmo conversada. Isto
posto, ela deve ser protegida com adequação.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

2 de 55

Tecnologia da Informação para MPOG
Analista de TI PGPE
Prof Victor Dalton Aula 09
Nesse contexto, a segurança da informação é um conjunto de
controles, nos quais se incluem políticas, processos, funções de software e
hardware e estruturas organizacionais, aplicados com o intuito de proteger a
informação dos vários tipos de ameaças, para garantir a continuidade do
negócio em caso de desastre, maximizar o ROI e as oportunidades de negócio.
Destaque para a tríade da segurança da informação:

Segundo a norma:
Confidencialidade: Garantia de que o acesso à informação seja obtido
somente por pessoas autorizadas.
Integridade: Salvaguarda da exatidão e completeza da informação e dos
métodos de processamento.
Disponibilidade: Garantia de que os usuários autorizados obtenham
acesso à informação e aos ativos correspondentes sempre que necessário.
01624136451

Para Laureano e Moraes (Segurança Como Estratégia de Gestão da
Informação), as informações se classificam como pública, interna, confidencial,
secreta.
• Pública/ostensiva: Informação que pode vir a público sem maiores
consequências danosas ao funcionamento normal da empresa, e cuja integridade
não é vital.
• Interna/reservada: O acesso livre a este tipo de informação deve ser
evitado, embora as consequências do uso não autorizado não sejam por demais
sérias. Sua integridade é importante, mesmo que não seja vital.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

3 de 55

Tecnologia da Informação para MPOG
Analista de TI PGPE
Prof Victor Dalton Aula 09

• Confidencial/sigilosa: Informação restrita aos limites da empresa, cuja
divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, a
perdas financeiras ou de confiabilidade perante o cliente externo.
• Secreta: Informação crítica para as atividades da empresa, cuja
integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito
a um número reduzido de pessoas. A segurança desse tipo de informação é vital
para a companhia.

1.3

Glossário

Para uniformização da linguagem, é interessante ter em mente as
definições abaixo, uma vez que os controles recomendados utilizam e repetem
(e muito) os termos abaixo citados. Já vi, inclusive, questões de prova em cima
apenas desses entendimentos!
Ativo – qualquer elemento que possua valor para a organização
Controle – forma de gerenciar o risco, seja ele uma política, diretriz,
procedimento, prática...
Evento – ocorrência em um sistema, serviço ou rede, que indica uma
probabilidade de violação da política de Seg Info, ou uma falha de controles, ou
outra coisa, ainda desconhecida
Incidente – um evento ou série de eventos indesejados ou inesperados,
com grande probabilidade de ameaçar a Seg Info e comprometer o negócio.
Todo incidente é um evento, mas nem todo evento é um incidente. Ex: uma
porta indevidamente aberta é um evento. Se a porta aberta mostra uma sala
violada, com mesas e gavetas mexidas, temos um incidente.
01624136451

Política – recomendações formais da direção da organização
Recurso de processamento da informação – qualquer sistema que
processe informações, serviço ou infraestrutura, incluindo aí as instalações
físicas nas quais eles estão instalados
Risco – é a probabilidade de um evento + consequências
Ameaça – causa potencial de um incidente não desejado
Vulnerabilidade – fragilidade que pode ser explorada por ameaças

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

4 de 55

Victor Dalton www. As descrições dos controles estão estruturadas da seguinte forma: Prof.estrategiaconcursos. e transferir. Evitar: evitar riscos.Luis 5 de 55 . juntas. evitar é a eliminação do risco. por fim. por exemplo. Vejamos estes verbos e o seu relacionamento com a norma: Mitigar: aplicar controles apropriados para reduzir os riscos. seguradoras ou fornecedores. condutas para evitar o risco são extremas. a organização deve identificar.br 01624136451 . Mitigar. e b) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle. 01624136451 A partir de agora. Quer lidar com os riscos? MATE. evitar.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 1. E. totalizam 39 categorias principais de segurança. colocar firewalls para diminuir o risco de invasão da intranet da empresa via internet). é norteada por duas idéias-chave. por exemplo. a idéia de que o risco deve ser analisado e avaliado.com. Mitigar e Evitar talvez sejam aqueles verbos passíveis de confusão entre si. Primeiramente. o tratamento do risco. mitigação. Aceitar: conhecer e objetivamente aceitar os riscos. Cada seção contém um número de categorias principais de segurança da informação e cada categoria principal de segurança da informação contém: a) um objetivo de controle que define o que deve ser alcançado. por meio da aceitação. veremos um resumo das 11 seções de controles de segurança da informação que. Transferir: transferir os riscos associados para outras partes. Enquanto mitigar procura minimizar o risco a um nível aceitável (como. não permitindo ações que poderiam causar a ocorrência de riscos. transferência ou prevenção. Via de regra.4 Riscos A norma. aceitar. como a cortar o acesso da empresa à internet. no que diz respeito a riscos. sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco. quantificar e priorizar os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização. Os modelos de Governança trazem 4 verbos clássicos para o tratamento de riscos. ou seja.

com.Luis 6 de 55 ferramentas de . que deve ser divulgado a todos da organização. seja em intervalos planejados. Victor Dalton www. sistemas. material de treinamento. 1. b) ativos de software: desenvolvimento e utilitários. manuais de usuário. existem vários tipos de ativos. seja diante de alguma mudança importante. Prof. incluindo: a) ativos de informação: base de dados e arquivos. a política de segurança deve estar alinhada. o comprometimento com Seg Info deve vir desde o alto escalão da organização. documentação de sistema. e a terceiros relevantes (como funcionários terceirizados. planos de continuidade do negócio. Diretrizes para a implementação Contém informações mais detalhadas para apoiar a implementação do controle e atender ao objetivo de controle. procedimentos de suporte ou operação. naturalmente. Algumas destas diretrizes podem não ser adequadas em todos os casos e assim outras formas de implementação do controle podem ser mais apropriadas. acordos de confidencialidade podem ser criados para a proteção de ativos confidenciais. por exemplo).estrategiaconcursos. procedimentos de recuperação.5 Política e Organização da Segurança da Informação A política de segurança da informação diz que:       a direção da organização deve criar um documento da política de segurança da informação. com os objetivos de negócio. aplicativos. trilhas de auditoria e informações armazenadas.br 01624136451 . contratos e acordos. a política de segurança deve ser revisada periodicamente.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 Controle Define qual o controle específico para atender ao objetivo do controle. informações sobre pesquisa. responsabilidades devem ser definidas de maneira clara.6 Gestão de ativos Segundo a ISO 27002. 01624136451 1.

Luis 7 de 55 . sensibilidade e a criticidade e quaisquer outros critérios relevantes. RH A segurança em recursos humanos se preocupa com funcionários. eletricidade e refrigeração.br 01624136451 . e) pessoas e suas qualificações. Termos e condições contratuais podem ser estabelecidos. para receber um nível adequado de proteção. Funcionários que mudarem de local de trabalho ou deixarem a organização devem devolver ativos sob sua responsabilidade. Processo disciplinar formal pode ser estabelecido para os que violarem a Seg Info.      1. Todo ativo deve ter um proprietário. mídias removíveis e outros equipamentos. Victor Dalton www. comunicação.7 Todos os ativos devem ser identificados. Nela. habilidades e experiências. Para tal. 01624136451       Todos devem ser conscientizados da importância da Seg Info. utilidades gerais. mas o proprietário sempre será o responsável pela proteção. O proprietário do ativo é o responsável pela manutenção dos controles sobre os seus ativos. A aplicação dos controles pode ser delegada. iluminação. fornecedores e terceiros. requisitos legais. Esta gestão preocupa-se em manter a proteção dos ativos da organização de maneira adequada. Papéis e responsabilidades devem ser atribuídos.com.estrategiaconcursos. Esta classificação deverá levar em conta o valor. Candidatos a emprego devem ser analisados. por exemplo aquecimento. tais como a reputação e a imagem da organização. bem como terem seus direitos de acesso revistos ou revogados. em especial quando tratarem com informações sensíveis. A informação deverá receber uma classificação. f) intangíveis. equipamentos de d) serviços: serviços de computação e comunicações. Deve ser criado um inventário de ativos. Prof.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 c) ativos físicos: equipamentos computacionais.

01624136451 Prof. etc. distantes o bastante para não serem afetadas por um desastre no local principal. Equipamentos devem ser protegidos contra ameaças do meio ambiente e físicas. Terceiros devem ser monitorados e analisados criticamente em seus serviços.          Documentos que descrevem os procedimentos de operação desses recursos devem ser criados e mantidos atualizados. etc.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 1. balcões de recepção. Cópias de segurança devem ser armazenadas remotamente. terremotos. Redes de computadores devem ser gerenciadas e controladas. Cópias de segurança das informações devem ser criadas e testadas periodicamente. Devem possuir proteção física contra acesso não autorizado.9 Instalações de processamento da informação críticas devem estar em áreas seguras. considerando planejamentos. prevenção e recuperação para malwares devem ser implantados.com.br 01624136451 . somente com autorização e sendo monitorados. Assim sendo. conforme a política definida pela organização. para evitar modificações ou uso indevido. Proteção compatível com os riscos que foram identificados. bem como a conscientização dos usuários. interferências externas e danos.8 Segurança física e do ambiente A segurança física preocupa-se em prevenir acesso físico não autorizado. devem ser projetadas e aplicadas. Controles de detecção. evitando danos e violação às informações da organização. Proteção contra incêndios.        1. enchentes. com barreiras e controles de acesso adequados (paredes. Registros de entrada e saída de funcionários. Pode-se utilizar criptografia em cópias cuja confidencialidade seja importante. Victor Dalton www. Nesse contexto. Comunicações A preocupação aqui é garantir que recursos de processamento da informação sejam operados corretamente. explosões.Luis 8 de 55 . Terceiros prestando serviço em áreas sensíveis só podem entrar quando necessário.). Funções e responsabilidades devem ser segregadas. testes e procedimentos de recuperação.estrategiaconcursos. Modificações nos recursos devem ser controladas. Direitos de acesso a áreas seguras devem ser revistos e atualizados periodicamente.

               A política de controle de acesso deve ser baseada nos requisitos de acessos dos negócios e segurança da informação. O ID de usuário deve ser capaz de assegurar a responsabilidade do usuário por suas ações. responsabilizando-se pela confidencialidade da mesma. 1.estrategiaconcursos. Concessão de senhas deve ser controlada por processos formais.br 01624136451 . por meio de gateways e proxies. Mesa limpa e tela limpa devem ser adotadas para evitar vazamento de informações. Usuários devem seguir boas práticas no uso e seleção de senhas. Senhas temporárias devem ser modificadas no primeiro acesso. Senhas devem ser modificadas periodicamente. Grupos de Ids só devem existir onde existir a necessidade para o negócio.     Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 Mecanismos de registro e monitoração podem ser aplicados para ações relevantes de segurança. para que as conexões de rede não violem a política de controle de acesso da organização. garantindo e revogando acessos em todos os serviços e sistemas de informação.10 Controle de acessos O acesso à informação na organização deve ser controlado.Luis 9 de 55 . e não no oposto.com. O acesso aos serviços de rede internos e externos deve ser controlado. Basear-se na regra “tudo é proibido. Comércio eletrônico em redes públicas deve ser protegido de atividades fraudulentas. Sistema de gerenciamento de senha deve obrigar o usuário a escolher senhas de qualidade. Controles especiais devem ser aplicados em redes wireless. Dentre outros. O nível de acesso do usuário deve ser adequado ao propósito do negócio. menos o permitido”. quando não mais necessárias. Concessão e uso de privilégios deve ser restrito e controlado. Mídias removíveis devem ser registradas e descartadas de forma segura e formal. Victor Dalton www. Deve existir procedimento formal para registrar e cancelar usuários. 01624136451 Prof. Usuário deve assinar declaração quando receber senha. As redes devem possuir controle de roteamento. Isto posto.

validando dados de entrada. Errado! Isso viola inclusive o conceito de criptografia assimétrica. Prof.      Controles apropriados devem ser implantados. 1) (CESPE – ANATEL – Analista – Infraestrutura de TI – 2014) A norma ISO 27002 recomenda que as chaves criptográficas usadas para as assinaturas digitais de documentos eletrônicos sejam idênticas àquelas usadas para a criptografia desses documentos: a padronização das chaves garante maior segurança aos documentos.estrategiaconcursos. As informações devem ser protegidas por meios criptográficos.12 Incidentes 01624136451 A gestão de incidentes preocupa-se com os incidentes de segurança da informação. Acesso aos arquivos de sistema e programas de código-fonte devem ser controlados. Desta forma. Cuidados devem ser tomados. O correto é utilizar a chave privada para cifrar a assinatura digital (de modo que a chave pública possa decifrá-la) e utilizar a chave pública do destinatário para cifrar conteúdo. de modo que apenas a chave privada do destinatário possa decifrá-la. Victor Dalton www.com. 1. Gerentes responsáveis por aplicativos também devem ser responsáveis por ambientes de projeto ou suporte.br 01624136451 . de modo a receberem o tratamento adequado em tempo hábil.11 Sistemas de informação Este item afirma que a segurança deve ser parte dos sistemas de informação. Processo de melhoria contínua deve ser aplicado às respostas. para que dados sensíveis não sejam expostos em ambientes de testes de sistemas.    Fragilidades e eventos relativos a sistemas de informação devem ser informados pelo canal adequado.Luis 10 de 55 . Nele. Responsabilidades e procedimentos devem ser definidos para o tratamento de eventos e fragilidades.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 1. processamento interno e saída.

de modo a serem eficazes sem interromperem processos de negócio.13 Gestão da continuidade do negócio A gestão do negócio afirma que as atividades de negócio não podem parar. se aplicável. sentenças que fazem (ou não fazem) sentido estar na norma.15 Análise final 01624136451 Pois bem. 1.    Um processo de gestão deve ser desenvolvido para assegurar a continuidade do negócio. Direitos de propriedade intelectual devem ser respeitados (não à Pirataria!). teste e atualização periódica dos planos. em cláusulas contratuais. Para tal. o que fará que você consiga acertar questões sobre o assunto. acordos e regulamentos. Planos de continuidade do negócio devem ser desenvolvidos. Assim sendo.14 Conformidade Conformidade preocupa-se com requisitos legais. 1. A norma completa possui 132 páginas. Os eventos que podem interromper os processos de negócio devem ser identificados e terem sua probabilidade e impacto estudadas.Luis 11 de 55 . Deve haver gestores específicos para cada plano. De qualquer forma. diante de falhas ou desastres. recomendo a visualização da mesma pelo menos uma vez. as principais recomendações de segurança da ISO 27002. Victor Dalton www. Entretanto.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 1. de forma resumida. acabamos de ver. Logo. nas alternativas. obrigações contratuais e de requisitos de Seg Info.estrategiaconcursos. Prof.com.br 01624136451 . estatutos. para melhor entendimento. detalhando esses e outros procedimentos importantes. civis.      Deve-se evitar violação de leis criminais. com identificação de procedimentos para a recuperação do desastre. Atividades de auditoria devem ser planejadas. regulamentações. você será capaz de enxergar. acredito que você conseguiu capturar o “espírito” da norma. responsáveis por esses procedimentos. Controles criptográficos devem ser usado em conformidade com todas as leis. ao deparar-se com os exercícios. Dados devem ser protegidos conforme legislações relevantes e.

e não cansa de continuar aparecendo. pelo menos uma vez.estrategiaconcursos. processos empregados e tamanho e estrutura da organização. a norma preconiza um conjunto de objetivos de controles e controles.br 01624136451 .2 Ciclo PDCA (importantíssimo!) A ISO 27001 adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA). a serem aplicados pela organização. a adoção de um SGSI deve ser uma decisão estratégica para uma organização. Victor Dalton www. 2.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 2. analisar criticamente. manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).1 Introdução A norma ISO 27001 foi concebida com o intuito de prover um modelo para estabelecer. A especificação e a implementação do SGSI deuma organização são influenciadas pelas suas necessidades e objetivos. É essencial que você baixe a norma (facilmente encontrada na internet) e leia o Anexo com tais elementos. monitorar. requisitos de segurança. NORMA ISO 27001 2. Segundo a referida norma. implementar.com. Ainda. operar. que é aplicado para estruturar todos os processos do SGSI. Memorize o modelo a seguir! 01624136451 Prof.Luis 12 de 55 . Não sei quantas vezes isso já apareceu em provas.

com. incluindo detalhes e justificativas para quaisquer exclusões do escopo. 01624136451 2. Victor Dalton www. ativos e tecnologia que: Prof. a organização. sua localização. b) Definir uma política do SGSI nos termos das características do negócio.estrategiaconcursos. processos e procedimentos do SGSI. a organização. a organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio.2.Luis 13 de 55 . Errado! O Do implementa e opera a política. Quem executa ações corretivas e preventivas é o Act. sua localização.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 Modelo PDCA aplicado aos processos do SGSI.br 01624136451 . controles. o Do (fazer) do PDCA executa ações corretivas e preventivas a partir dos resultados da auditoria interna do SGSI e da análise crítica pela direção ou de outra informação pertinente. Vamos detalhar um pouco mais as etapas. 2) (CESPE – SUFRAMA – Analista – Tecnologia da Informação – 2014) A fim de se alcançar a melhoria contínua na implementação e na operação do SGSI. ativos e tecnologia.1 Estabelecer o SGSI Nesta etapa (plan).

Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação. e 5) tenha sido aprovada pela direção.Luis 14 de 55 . e obrigações de segurança contratuais.com. e impactos associados a estes ativos e os controles atualmente implementados. 2) Identificar as ameaças a esses ativos. integridade ou disponibilidade dos ativos. 2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco. Victor Dalton www. f) Identificar e avaliar as opções para o tratamento de riscos. 4) Identificar os impactos que as perdas de confidencialidade. 1) Identificar os ativos dentro do escopo do SGSI e os proprietários destes ativos.estrategiaconcursos. legais e/ou regulamentares. 4) estabeleça critérios em relação aos quais os riscos serão avaliados. 3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer. A metodologia de análise/avaliação de riscos selecionada deve assegurar que as análises/avaliações de riscos produzam resultados comparáveis e reproduzíveis. d) Identificar os riscos. 2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes. 1) Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança. c) Definir a abordagem de análise/avaliação de riscos da organização. regulamentares e de segurança da informação. 3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças. 2) considere requisitos de negócio. levando em consideração as consequências de uma perda de confidencialidade. 01624136451 e) Analisar e avaliar os riscos.br 01624136451 . 4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação de riscos estabelecidos em. Prof. integridade e disponibilidade podem causar aos ativos. identificados para o negócio. 3) Estimar os níveis de riscos. 1) Identificar uma metodologia de análise/avaliação de riscos que seja adequada ao SGSI e aos requisitos legais.

i) Obter autorização da direção para implementar e operar o SGSI.Luis 15 de 55 . g) Selecionar objetivos de controle e controles para o tratamento de riscos. j) Preparar uma Declaração de Aplicabilidade – importante! A Declaração de Aplicabilidade contém: 1) Os objetivos de controle e os controles selecionados e as razões para sua seleção.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 Possíveis ações incluem (MATE os riscos!): 1) aplicar os controles apropriados . e objetivos de controles e controles adicionais podem também ser selecionados. Prof.estrategiaconcursos. a organização deve: a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada. 3) evitar riscos. seguradoras e fornecedores. 2) Os objetivos implementados. Esses os objetivos de controle e controles encontram-se no anexo A da norma e não são exaustivos. que inclua considerações de financiamentos e atribuição de papéis e responsabilidades.br 01624136451 .2 Implementar e operar o SGSI Nesta etapa (do). h) Obter aprovação da direção dos riscos residuais propostos.2. por exemplo. Victor Dalton www. recursos. e 4) transferir os riscos associados ao negócio a outras partes. 01624136451 2.com. b) Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados. Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos. responsabilidades e prioridades para a gestão dos riscos de segurança.mitigar 2) aceitar os riscos consciente e objetivamente. e de controle e os controles atualmente 3) A exclusão de quaisquer objetivos de controle e controles do anexo A e a justificativa para sua exclusão. desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos.

h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação. e 5) determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes.Luis 16 de 55 . 3) permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado. c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos. resultados da eficácia das medições. sugestões e realimentação de todas as partes interessadas.estrategiaconcursos. g) Gerenciar os recursos para o SGSI. 2) prontamente identificar tentativas e violações de segurança bemsucedidas. 01624136451 b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI.br 01624136451 . levando em consideração os resultados de auditorias de segurança da informação. incidentes de segurança da informação.3 Monitorar e analisar criticamente o SGSI Nesta etapa (check). e) Implementar programas de conscientização e treinamento.2. d) Definir como medir a eficácia dos controles ou grupos de controles selecionados. d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados.com. f) Gerenciar as operações do SGSI. 2.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 c) Implementar os controles selecionados para atender aos objetivos de controle. 4) ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores. e a análise crítica de controles de segurança). e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis. Prof. a organização deve: a) Executar procedimentos de monitoração e análise crítica e outros controles para: 1) prontamente detectar erros nos resultados de processamento. Victor Dalton www. e incidentes de segurança da informação.

b) o escopo do SGSI. d) uma descrição da metodologia de análise/avaliação de riscos. Prof. g) Atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica.4 Manter e melhorar o SGSI Nesta etapa (act).Luis 17 de 55 .Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 e) Conduzir auditorias internas do SGSI a intervalos planejados f) Realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI. 01624136451 Tais documentos devem incluir: a) declarações documentadas da política e objetivos do SGSI. regularmente: a) Implementar as melhorias identificadas no SGSI. obter a concordância sobre como proceder. b) Executar as ações preventivas e corretivas apropriadas. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização. Afinal. c) Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e.br 01624136451 .com. f) o plano de tratamento de riscos. h) Registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI. assegurar que as ações sejam rastreáveis às políticas e decisões da direção. a organização deve.2. se relevante. 2.estrategiaconcursos. c) procedimentos e controles que apoiam o SGSI. d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos. 2. a documentação deve incluir registros de decisões da direção. e) o relatório de análise/avaliação de riscos. por ocasião da elaboração do SGSI.3 Requisitos de documentação É importante saber o que a norma enfatiza que seja documentado. e assegurar que os resultados registrados sejam reproduzíveis. Victor Dalton www.

Victor Dalton www.estrategiaconcursos.com. Enfim. Sua leitura continua sendo necessária. para melhor compreensão e realização de questões de prova.br 01624136451 . Não deixe de ler! 01624136451 Prof. a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles. e i) a Declaração de Aplicabilidade. esta leitura tem por objetivo familiarizá-lo com o conteúdo da norma.Luis 18 de 55 . h) registros requeridos pela Norma.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo.

Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens: 01624136451 a) condições para ativação dos planos.com. quem deve ser acionado etc. Convém que cada plano tenha um gestor específico. de recuperação. o enfoque para assegurar a disponibilidade e segurança do sistema de informação ou da informação. por exemplo. assim como as responsabilidades individuais para execução de cada uma das atividades do plano. Convém que os procedimentos do programa de gestão de mudança da organização sejam incluídos para assegurar que os assuntos de continuidade de negócios estejam sempre direcionados adequadamente. sejam normalmente de responsabilidade dos provedores de serviços. Gestão de Continuidade de Negócios 3.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 3.br 01624136451 . Convém que procedimentos de recuperação para serviços técnicos alternativos.estrategiaconcursos. b) procedimentos de emergência que descrevam as ações a serem tomadas após a ocorrência de um incidente que coloque em risco as operações do negócio. manual de planejamento e planos de reativação sejam de responsabilidade dos gestores dos recursos de negócios ou dos processos envolvidos. c) procedimentos de recuperação que descrevam as ações necessárias para a transferência das atividades essenciais do negócio ou os serviços de infraestrutura para localidades alternativas temporárias e para a reativação dos processos do negócio no prazo necessário.Luis 19 de 55 . A norma preconiza que: Convém que cada plano de continuidade do negócio descreva o enfoque para continuidade. Prof. como processamento de informação e meios de comunicação. o plano de abandono ou o procedimento de recuperação. os quais descrevem os processos a serem seguidos (como se avaliar a situação. é importante que os procedimentos de emergência relacionados sejam ajustados de forma apropriada.) antes de cada plano ser ativado. Quando novos requisitos são identificados. Victor Dalton www. Convém que procedimentos de emergência. por exemplo. Convém que cada plano também especifique o plano de escalonamento e as condições para sua ativação.1 Considerações Iniciais A ISO 15999 preconiza a adoção de um Plano de Continuidade de Negócios para a recuperação de desastres.

Além disso. numa situação de ameaça ao negócio da empresa (ou ambiente): O PGC. o Plano de Continuidade Operacional (PCO) e o Plano de Recuperação de Desastres (PRD). voltado para a substituição ou reposição de componentes que venham a ser danificados.com. Segundo o estudo Plano de Continuidade de Negócio: Planejamento. O PCO.pdf. O comportamento da empresa na comunicação do fato à imprensa é um exemplo típico de tratamento dado pelo plano.com. nas atividades que envolvem as respostas aos eventos. h) designação das responsabilidades individuais. disponível em http://www.br 01624136451 .lyfreitas. 01624136451 Plano de Continuidade Operacional PCO – Tem o propósito de definir os procedimentos para contingenciamento dos ativos que suportam cada processo de negócio.estrategiaconcursos. descrevendo quem é responsável pela execução de que item do plano. um PCN é um conjunto de três outros planos: o Plano de Gerenciamento de Crises (PGC). f) uma programação de manutenção que especifique quando e como o plano deverá ser testado e a forma de se proceder à manutenção deste plano. tem que definir os procedimentos a serem executados pela mesma equipe no período de retorno à normalidade. Cada um destes planos é focado em uma determinada variável de risco. recuperação e reativação. voltado para as atividades que garantam a realização dos processos e o PRD.br/ant/artigos_mba/artpcn. objetivando reduzir o tempo de indisponibilidade e. e) procedimentos de recuperação que descrevam as ações a serem adotadas quando do restabelecimento das operações. i) os ativos e recursos críticos precisam estar aptos a desempenhar os procedimentos de emergência. Victor Dalton www. Plano de Gerenciamento de Crises PGC – Este documento tem o propósito de definir as responsabilidades de cada membro das equipes envolvidas com o acionamento da contingência antes. durante e depois da ocorrência do incidente.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 d) procedimentos operacionais temporários para seguir durante a conclusão de recuperação e restauração.Luis 20 de 55 . consequentemente. Convém que suplentes sejam definidos quando necessário. conscientização e educação com o propósito de criar o entendimento do processo de continuidade de negócios e de assegurar que os processos continuem a ser efetivo. g) atividades de treinamento. Orientar as ações diante Prof. os impactos potenciais ao negócio.

br 01624136451 . I – Informática – Equipamentos.estrategiaconcursos. T – Telecomunicações – Empresas que fornecem comunicação usando dados e voz. Victor Dalton www. evitando acionamentos prematuros ou tardios. dentro do escopo da Gestão de Continuidade de Negócios.2 Análise de Impacto de Negócios (BIA) 01624136451 Quanto à Análise de Impacto no Negócio (BIA). convém que a organização: Prof. Ao criar o PCN/BCP. Conectividade.com. no menor tempo possível. para-raios. Instalações Elétricas.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 da queda de uma conexão à Internet exemplificam os desafios organizados pelo plano. A materialização deste processo é a própria BIA. Plano de Recuperação de Desastres PRD – Tem o propósito de definir um plano de recuperação e restauração das funcionalidades dos ativos afetados que suportam os processos de negócio. a ISO 15999 preconiza a conveniência de a organização definir e documentar o impacto de uma interrupção nas atividades que suportam seus produtos e serviços fundamentais. Cabe destacar que o PCN deve ser planejado antes da ocorrência de desastres. 3. Sistemas. Para cada atividade que suporta a entrega de produtos e serviços fundamentais para a organização. a fim de restabelecer o ambiente e as condições originais de operação. I – Infraestrutura Segurança Física.Luis 21 de 55 . – Localização. etc. deve-se manipular as variáveis ETIPI. a saber: E – Energia – Operadoras fornecedoras de energia elétrica. Para obtenção de sucesso nas ações dos planos. dentre outros. para diminuir ou mitigar o impacto causado pelos mesmos. é necessário estabelecer adequadamente os gatilhos de acionamento para cada plano de continuidade. Estes gatilhos são parâmetros de tolerância usados para sinalizar o início da operacionalização da contingência. P – Pessoas – Contingência das atividades e atendimento através de Sites Remotos.

tecnologias ou informação. Danos à viabilidade financeira. 3.br 01624136451 . sua cópia e a respectiva armazenagem desta cópia é uma exigência do Plano de Continuidade. convém que a organização considere aqueles que se relacionam a seus objetivos de negócio e às partes interessadas. 01624136451 Cada tipo de arquivo irá exigir um tipo de cópia. Deterioração da qualidade de produtos ou serviços. ao avaliar os impactos. O armazenamento estas cópias está diretamente relacionado à Estratégia de Recuperação (ou Contingência) da organização.  O nível mínimo no qual a atividade tem que ser desempenhada após seu reinício. Dano ou perda de instalações. podemos distinguir entre dois tipos de arquivos: os arquivos de uso Corporativo e os arquivos de uso pessoal. c) Identificar quaisquer atividades interdependentes.  O tempo máximo até a retomada dos níveis normais de operação. infraestrutura de suporte ou recursos que também precisem ser mantidos continuamente ou recuperados ao longo do tempo. Por fim.Luis 22 de 55 . Entretanto. Não cumprimento de deveres ou regulamentações. b) Estabeleça o período máximo de interrupção tolerável de cada atividade. Estes podem incluir: a) b) c) d) e) f) g) Impacto ao bem-estar das pessoas. Victor Dalton www. de acordo com a política de segurança estabelecida.3 Estratégias de Recuperação O Plano de Continuidade tem sua sustentação básica composta pelos procedimentos de cópias de base de dados e a respectiva guarda destas cópias em local seguro. Danos ambientais.com. ativos. Danos à reputação. o impacto que aconteceria caso a atividade fosse interrompida. Prof.estrategiaconcursos. conforme o passar do tempo.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 a) Verifique. identificando:  O tempo máximo decorrido após o início de uma interrupção para que uma atividade precise ser reiniciada. Independente do tipo de arquivo. numa primeira abordagem.

O tempo de operacionalização desta estratégia está diretamente ligado ao tempo de tolerância a falhas do objeto. desprovido de recursos de processamento de dados. Prof. Victor Dalton www.estrategiaconcursos. podendo se sujeitar à indisponibilidade por mais tempo. pois poderia ficar indisponível por minutos.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 As cópias (backup’s) de todas as bases de dados corporativas devem ser feitas com a frequência que suas atualizações demandarem pela área gestora dos Recursos de Tecnologia de Informação. até o retorno operacional da atividade. que são: • Estratégia de Contingência Hot-site – Recebe este nome por ser uma estratégia pronta para entrar em operação assim que uma situação de risco ocorrer. 01624136451 • Estratégia de Contingência Datacenter – Considera a probabilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado.Luis 23 de 55 . por exemplo. esta propõe uma alternativa de contingência a partir de um ambiente com os recursos mínimos de infraestrutura e telecomunicações. sem. devido ao seu alto custo. Baseado na importância dos backup’s. no entanto. foram criadas diversas estratégias para o seu armazenamento. critérios e mecanismos de controle que garantam condições de segurança adequadas à relevância e criticidade da atividade contingenciada. • Estratégia de Contingência Cold-site – Dentro da classificação nas estratégias anteriores. A guarda deve ser feita em local seguro. fora dos domínios da empresa. antes de um desastre. requer atenção na adoção de procedimentos. portanto. com uma distância geográfica mínima que evite que problemas nas instalações tenham repercussão no local de guarda das cópias (ou vice-versa). como exemplo. o serviço de email dependente de uma conexão. Se a aplicássemos em um equipamento tecnológico. em que requer um tempo de indisponibilidade menor em função do tempo de reativação operacional da atividade. Vemos que o processo de envio e recebimento de mensagens é mais tolerante que o exemplo usado na estratégia anterior. Por sua própria natureza. estaríamos falando de milissegundos de tolerância para garantir a disponibilidade do serviço mantido pelo equipamento. • Estratégia de Contingência Warm-site – Esta se aplica a objetos com maior tolerância à paralisação. ou até segundos. aplicável à situação com tolerância de indisponibilidade ainda maior. pois guardam uma cópia fiel dos dados minutos. torna-se restrita a poucas organizações. claro que esta estratégia foi analisada e aprovada pelos gestores. Portanto. O fato de ter suas informações manuseadas por terceiros e em um ambiente fora de seu controle.com.br 01624136451 . um servidor de banco de dados. comprometer o serviço ou gerar impactos significativos.

DO — implementar e operar o SGSI. Correto.com. Prof. a norma em questão não cobre empresas de pequeno porte. Errado! Isso viola inclusive o conceito de criptografia assimétrica. (CESPE – ANATEL – Analista – Infraestrutura de TI – 2014) Julgue os itens a seguir a respeito das normas ISO/IEC 27001 e ISO/IEC 27002 e do sistema de gestão de segurança da informação (SGSI). 1 Devido a questões econômicas. Descrição correta do ciclo PDCA. análise crítica. de qualquer natureza e porte. CHECK — monitorar e analisar criticamente o SGSI. O correto é utilizar a chave privada para cifrar a assinatura digital (de modo que a chave pública possa decifrá-la) e utilizar a chave pública do destinatário para cifrar conteúdo. 01624136451 3 A norma ISO 27002 recomenda que as chaves criptográficas usadas para as assinaturas digitais de documentos eletrônicos sejam idênticas àquelas usadas para a criptografia desses documentos: a padronização das chaves garante maior segurança aos documentos.Luis 24 de 55 .Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 EXERCÍCIOS COMENTADOS (CESPE – ANATEL – Analista – Desenvolvimento de Sistemas de Informação – 2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para prover um modelo de estabelecimento. de modo que apenas a chave privada do destinatário possa decifrá-la. Errado! A Norma 27001 pode ser aplicada a qualquer organização. monitoração. implementação. que apresenta as seguintes etapas: PLAN — estabelecer o SGSI. 2 A referida norma adota o modelo de melhoria contínua PDCA. operação. Victor Dalton www. manutenção e melhoria do sistema de gestão de sistemas de informação (SGSI). e ACT — manter e melhorar o SGSI.br 01624136451 .estrategiaconcursos. Com relação a esse assunto. julgue os itens que se seguem.

ainda mais aqueles que sofrem alterações significativas. (CESPE – SUFRAMA – Analista – Tecnologia da Informação – 2014) Nesse sentido. no contexto da ação preventiva. É razoável. a organização identifique tanto alterações nos riscos quanto os consequentes requisitos de ações preventivas.Luis 25 de 55 . Victor Dalton www. sempre que utilizada. 5 A fim de se alcançar a melhoria contínua na implementação e na operação do SGSI. controles. a atualização dos riscos.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 4 Na norma ISO 27001.estrategiaconcursos. Prof. preventivamente falando. se refere a sistema de gestão de segurança da informação. considere que a sigla SGSI. Quem executa ações corretivas e preventivas é o Act. Correto. processos e procedimentos do SGSI. o Do (fazer) do PDCA executa ações corretivas e preventivas a partir dos resultados da auditoria interna do SGSI e da análise crítica pela direção ou de outra informação pertinente. especialmente no que diz respeito aos riscos que tenham sofrido alterações significativas. recomenda-se que.br 01624136451 . Errado! o Do implementa e opera a política.com. 01624136451 Modelo PDCA aplicado aos processos do SGSI.

8 Para evitar o vazamento de informações corporativas. 7 Para alcançar os objetivos de controle identificados.º 27002:2005.º 27001:2006 e n.br 01624136451 . de forma a evitar a sua repetição. a utilização de equipamentos fora das dependências da organização requer obrigatoriamente a autorização prévia da administração.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 6 A identificação do que não está de acordo e o registro dos resultados das ações executadas são procedimentos que visam eliminar as causas de não conformidade com os requisitos do SGSI. Daí o equívoco da assertiva. Correto.com. relativos à gestão de segurança da informação. 01624136451 9 De acordo com a norma ISO/IEC n. julgue os itens a seguir. O log de TI é um elemento importante demais para ser desativado diante da primeira adversidade. Victor Dalton www. convém que administradores de sistemas não tenham permissão de exclusão ou desativação dos registros (log) de suas próprias atividades. que gera prejuízos enormes às organizações. faz parte da etapa Do do modelo PDCA implementar o plano de tratamento de riscos que inclua as considerações de financiamentos e a atribuição de papéis e responsabilidades. é permitido que o administrador de sistemas suprima ou desative o registro (log) de suas próprias atividades em caso de falta de espaço em disco. Errado! Quando possível.º 27002:2005. A organização deve executar ações para eliminar as causas de não-conformidades com os requisitos do SGSI. (CESPE – TJ/SE – Analista – Análise de Sistemas – 2014) Com base nas normas ABNT NBR ISO/IEC n. Errado! Embora a medida pareça sensata. a ISO 27002 não obriga. Prof.estrategiaconcursos.Luis 26 de 55 . Correto. O procedimento documentado para ação corretiva deve definir requisitos para identificar não-conformidades e registrar os resultados das ações executadas. Implementar o plano de tratamento de riscos faz parte do Do. ela sugere.

01624136451 Errado! A Conformidade é um capítulo da norma que se preocupa com requisitos legais.estrategiaconcursos. pois não visa à obtenção de certificação. já que essa incumbência fica a cargo de empresas privadas responsáveis pala análise de conformidade da prática de empresas às práticas recomendadas tanto pela NBR 27002 quanto pela NBR 27001. proteção à propriedade intelectual. Victor Dalton www.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 10 No modelo PDCA (Plan. Correto. principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança.Luis 27 de 55 . dentre outros. alinhamento a leis e normas vigentes. julgue o item seguinte. (CESPE – SERPRO – Analista – Administração de Serviços de Tecnologia da Informação – 2013) No que concerne à norma ABNT NBR ISO/IEC 27002. que estabelece o código de prática para a gestão da segurança da informação. julgue os itens que se seguem.com. em especial quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização. Prof. Do. 12 A conformidade não é um dos conteúdos da referida norma. Errado! Análises de riscos devem ser realizadas periodicamente. Check. (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) Com base nos aspectos gerais da norma ABNT NBR ISO/IEC 27002. Act) aplicado aos processos do SGSI. uma análise de riscos deve ser realizada somente quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização.br 01624136451 . 11 O documento de política de segurança da informação declara o comprometimento da alta direção da organização e descreve os requisitos de conscientização e treinamento em segurança da informação. 13 Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional.

Errado! Naturalmente que esses controles são essenciais. 14 Requisitos de segurança da informação podem ser obtidos a partir da análise/avaliação dos riscos da organização com base nos seus objetivos estratégicos.Luis 28 de 55 . julgue os itens. a partir dos requisitos do negócio para o processamento da informação que a organização desenvolve para realizar suas operações.com. 15 A proteção de dados e privacidade de informações pessoais. 17 Cabe exclusivamente aos gestores e administradores a coordenação da segurança da informação dentro de uma organização.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 Correto. finalmente. pois a implementação é de responsabilidade do SGSI. e. 01624136451 (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) Com relação a conteúdo prático. Victor Dalton www. 16 A norma em apreço estabelece diretrizes e princípios para a segurança da informação. a partir da legislação vigente. de registros organizacionais e os direitos de propriedade intelectual muitas vezes são vistos erroneamente como controles essenciais para uma organização.estrategiaconcursos. Prof. no entanto a implementação de seus objetivos de controles e dos controles não garante o atendimento aos requisitos de segurança da informação. todos previstos no capítulo de Conformidade. Errado! É objetivo da norma que os objetivos de controle e os controles garantam o atendimento aos requisitos de segurança da informação. objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002.br 01624136451 . Correto.

não ao que se evita. naturalmente. administradores. 19 Em gestão da segurança da informação.com. indicação de parâmetros para outros tipos de requisitos a serem considerados. auditores. usuários. De acordo com a norma vigente. nessa norma. só devem ser classificadas as informações que possuam algum valor para a organização. requisitos legais..Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 Errado! “Convém que a coordenação da segurança da informação envolva a cooperação e colaboração de gerentes. TI e gestão de riscos.” Não há restrições apenas para informações valorosas. Prof. ou seja.. desenvolvedores.” Imagina se os ativos inventariados não tivessem responsáveis. sensibilidade e criticidade para a organização. recursos humanos. a realização da atividade que o ocasionaria. Errado! “Convém que a informação seja classificada em termos do seu valor. por exemplo. sensibilidade e criticidade para a organização. questões legais. pessoal de segurança e especialistas com habilidades nas áreas de seguro. 01624136451 Errado! “Convém que a informação seja classificada em termos do seu valor. Errado! “Convém que todos os ativos sejam inventariados e tenham um proprietário responsável.estrategiaconcursos. não havendo. não faz parte do tratamento do risco. responsabilizar um usuário por um ativo inventariado. Victor Dalton www.” 18 A responsabilidade por um ativo de informação na organização deve ser atribuída às equipes de suporte estabelecidas e nomeadas. veda-se. 20 Uma informação deve ser classificada de acordo com os seus requisitos de confidencialidade. de modo a eliminar a ocorrência de suas consequências e. pois o tratamento refere-se ao risco que se toma. requisitos legais.” 21 A ação de se evitar um risco. aquelas cuja divulgação traga algum malefício financeiro ou de imagem a qualquer indivíduo que nela trabalhe. integridade e disponibilidade.br 01624136451 .Luis 29 de 55 .

25 Recuperação de erros. Errado! O Documento da Política de Segurança da Informação deve conter.estrategiaconcursos. 3) gestão da continuidade do negócio. Correto. mas não devem fazer parte do documento da política em si. apesar de serem bem específicos ao processo de aceitação de Prof. incluindo até responsabilidades que se estendam para fora das dependências da organização e fora dos horários normais de trabalho. 23 Segundo a citada norma. treinamento e educação em segurança da informação. aceitar. na política de segurança da informação. Victor Dalton www.Luis 30 de 55 . declarações que esclareçam termos e condições de trabalho de recursos humanos. Correto. dentre outros: 1) conformidade com a legislação e com requisitos regulamentares e contratuais. 01624136451 24 A norma em questão recomenda que sejam incluídas. procedimentos de reinicialização e planos de contingência. 2) requisitos de conscientização. transferir e evitar. 22 As consequências da violação da política de segurança devem ser incluídas em um plano de tratamento de riscos.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 Errado! MATE os riscos! Mitigar. 4) consequências das violações na política de segurança da informação.br 01624136451 .com. à luz do resultado do desempenho do processo e de acordo com a política de segurança da informação. convém que a política de segurança seja analisada crítica e periodicamente.

devem ser considerados para minimizar os riscos de falhas de sistemas. julgue os itens a seguir.002:2005. Errado! Antes de contratar adotam-se critérios para selecionar os funcionários.º 27. para assegurar que os novos recursos humanos saibam agir com segurança diante das atividades a serem desenvolvidas por eles. Prof.br 01624136451 . Treinamento. (CESPE – Ministério das Comunicações – Atividade Técnica de Complexidade Gerencial – Especialidade 25 – 2013) A respeito da norma NBR ISO/IEC 27. 28 A utilização de VPN (virtual private network) entre o usuário e o ponto de acesso que difunde o sinal em uma rede wireless garante confidencialidade e integridade ao tráfego da rede.com. educação e conscientização de pessoas apenas antes da contratação. Errado! A informação operacional deverá ser apagada do aplicativo em teste IMEDIATAMENTE após completar-se o teste. 27 As informações operacionais incluídas no ambiente antes dos testes de intrusão devem ser nele mantidas após o teste. VPN é um recurso confiável. (CESPE – Banco Central do Brasil – Analista – Área 2 – 2013) Julgue os itens a seguir com base na norma NBR ISO/IEC n. mesmo em redes sem fio.Luis 31 de 55 .Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 sistemas.estrategiaconcursos.002 da ABNT. no gerenciamento de operações e comunicações preconizado pela norma 27002. 01624136451 Correto. conscientização e educação de pessoas ocorre durante o período de contratação. Victor Dalton www. Correto. 26 A norma referida recomenda que se realizem treinamento.

não pode delegar a implementação dos controles.restritos somente ao pessoal da organização”. de modo que o acesso a locais definidos como área seguras fiquem restritos somente ao pessoal da organização. mas olha a pegadinha! “. cujo objetivo principal é manter a proteção adequada dos ativos da organização. Errado! A implementação dos controles de segurança pode ser delegada. Errado! Quase tudo certo. enfim. Deve ainda ser implantada uma área de recepção. danos e interferências com as instalações e com as informações da organização. são 11 seções de controles de segurança da informação.estrategiaconcursos.. embora o proprietário do ativo permaneça responsável pelo mesmo. a respeito da norma NBR ISO/IEC 27002.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 29 De acordo com a referida norma. Errado! Que questão de prova desnecessária! Mas. que juntas totalizam 39 categorias principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos. 31 Na implementação de segurança física e segurança do ambiente em uma organização. é importante que os principais ativos de informação sejam inventariados e atribuídos a um proprietário responsável que.com. por questão de segurança.Luis 32 de 55 . independentemente do porte. Prof. Victor Dalton www. seções e etapas são aplicáveis apenas a organizações de grande envergadura. Errado! Qualquer organização. (CESPE – ANTT – Analista Administrativo – Infraestrutura de TI – 2013) Julgue os itens subsequentes. 30 A norma NBR citada acima prevê onze seções sobre o tratamento de riscos de segurança da informação.. todos os itens de controle.br 01624136451 . pode adotar a ISO 27002. Nada disso! Restritos somente ao pessoal autorizado! Nem todo mundo que é da organização deverá ter acesso a áreas seguras! 01624136451 32 Na gestão dos ativos. devem ser definidas áreas seguras para prevenir acessos físicos não autorizados.

Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 33 De acordo com a norma em questão. deve-se “garantir que segurança é parte integrante de sistemas de informação” – A. Errado! As senhas devem ser modificadas no primeiro acesso e não podem ser incluídas em nenhum processo automático de acesso ao sistema. não é mesmo? Mesmo para produtos de TI adquiridos de terceiros.12.3. Prof. 34 Na aplicação de controle de segurança. contidos no Anexo A (normativo) ABNT NBR ISO/IEC 27001.br 01624136451 . 01624136451 36 A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos. Errado! Responsabilidades como as supracitadas devem ser segregadas para evitar fraudes e erros.8.2. Errado! A questão já “soa” errada. pelas mesmas pessoas para reduzir as oportunidades de modificação. como os que utilizam macro e tokens. dispensa-se o controle do SGSI no que diz respeito a segurança da informação. em acordo com terceiros referente à aquisição de produtos de TI.estrategiaconcursos.com. 35 Conforme prevê a norma em apreço. Victor Dalton www. julgue os itens subsequentes. as senhas devem ser modificadas no primeiro acesso ao sistema e devem ser incluídas em processos automáticos de acesso ao sistema. Correto. funções e áreas de responsabilidade devem ser realizadas de forma conjunta. armazenadas em um macro ou funções-chave. (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) No que se refere aos objetivos de controle. por exemplo.Luis 33 de 55 .1. Controle A.

o anexo em questão estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares.9. Prof.11.10. Correto. tendo-se em vista assegurar o acesso autorizado e prevenir o não autorizado.6. Faz parte da etapa Implementar e Operar o SGSI. os recursos.com.3.4. Correto. 39 A referida norma é explícita ao afirmar que. as políticas e procedimentos de segurança de uma organização não podem ser expostos à opinião de outros.Luis 34 de 55 . públicas. Controle A. as responsabilidades e as prioridades para a gestão de riscos está relacionada à etapa Do do ciclo PDCA.1. informações não confidenciais. Errado! Contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais devem ser mantidos.2. ou seja.7.br 01624136451 . Errado! Mesmo as informações públicas devem ser influenciadas pela política de segurança da informação. por natureza. o que impossibilita contatos com grupos de interesses especiais ou ainda a promoção de fóruns especializados de segurança da informação e associações profissionais. 38 Entre os controles referentes ao gerenciamento de acesso do usuário. 01624136451 (CESPE – Polícia Federal – Perito – Área 3 – 2013) Com relação à norma ISO/IEC 27001:2006. Victor Dalton www. a formulação de um plano de tratamento de riscos que identifique a ação apropriada. em razão de seu caráter privativo. 40 De acordo com a norma ISO/IEC 27001:2006. julgue os itens a seguir. Controle A. visto que são. para que não sofram modificações não autorizadas.estrategiaconcursos.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 37 A integridade de informações disponibilizadas em sistemas acessíveis publicamente não precisa ser alvo da política de segurança. Controle A.

42 Segundo a norma ISO/IEC 27001:2006.com. no estabelecimento do Sistema de Gestão da Segurança da Informação (SGSI). como seguradoras e fornecedores. a organização deve elaborar uma declaração de aplicabilidade.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 41 Segundo a norma ISO/IEC 27001:2006. Victor Dalton www.Luis 35 de 55 . gerenciamento de privilégios e gerenciamento de senha do usuário. e as razões para sua seleção. e 3) foram excluídos justificativa para sua exclusão. (CESPE – TCE/ES – Auditor de Controle Externo – Tecnologia da Informação – 2012) Segundo as normas NBR ISO/IEC 27001 e 27002. bem como as possíveis ameaças aplicadas a tais ativos e as vulnerabilidades por elas exploradas. Errado! A Declaração de Aplicabilidade se relaciona aos objetivos de controles que: 1) foram selecionados. a respeito de gestão de segurança da informação. Errado! Faltou a Análise crítica dos direitos de acesso do usuário. 2) estão atualmente implementados. Correto. devem-se identificar e avaliar as opções para o tratamento de riscos. Questão maldosa! Prestou atenção no “plenamente”? Prof. 01624136451 43 O gerenciamento de acesso do usuário é plenamente implementado pelos seguintes controles: registro de usuário. detalhando os ativos dentro do escopo do SGSI e os seus proprietários.br 01624136451 . Portanto.estrategiaconcursos. por ocasião do Estabelecimento do SGSI. não está diretamente relacionado aos ativos e ao conteúdo descrito no enunciado. cujas ações englobam a aceitação consciente dos riscos (desde que satisfaçam às políticas estabelecidas dentro da organização). Saber que a identificação dos riscos ocorre no estabelecimento do SGSI é uma ideia forte para acertar esse tipo de questão. bem como a possibilidade de transferência dos riscos para outras partes. O que o enunciado cita está relacionado à Identificação dos Riscos. julgue os itens a seguir.

com. a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida. refere-se a sistema – Administração de Serviços de respeito da norma ABNT NBR ISO/IEC sentido.Luis 36 de 55 . menos a pegadinha no final. uma vez que “a política de segurança da informação deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem. para assegurar a sua contínua pertinência. relatório de análise/avaliação de riscos. Controle A.10.3.4.” (CESPE – SERPRO – Analista Tecnologia da Informação – 2013) A 27001. Prof. 01624136451 Correto. outros procedimentos documentados requeridos pela organização e a Declaração de Aplicabilidade. ocorrem as auditorias internas em intervalos planejados. não devendo ser alterado a partir de então.1) 47 Na etapa de melhoria do SGSI. gestão de segurança da informação.br 01624136451 . Victor Dalton www.estrategiaconcursos. julgue os itens a seguir.2: “Onde o uso de códigos móveis é autorizado. O documento da política de segurança da informação necessita da aprovação da direção da organização e deve ser publicado e comunicado para todos os funcionários e partes externas relevantes. Também fazem parte procedimentos e controles que apoiam o SGSI. o escopo do SGSI e o plano de tratamento de risco. Nesse sempre que utilizada. descrição da metodologia de análise/avaliação de riscos. 46 Entre os documentos que fazem parte da documentação de um SGSI. Errado! Tudo certo. estão incluídas a declaração da política do SGSI. de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Correto. considere que a sigla SGSI. são estabelecidos controles que regem o uso e a configuração de códigos móveis claramente autorizados.” 45 Na NBR ISO/IEC 27001. adequação e eficácia. em concordância com a política de segurança da informação.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 44 Uma política de segurança da informação deve fornecer orientação e apoio da direção para a segurança da informação. (item 4.

julgue os itens subsequentes.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 Errado! Ocorre na fase de Monitorar e analisar criticamente o SGSI. Correto. é necessário definir a estratégia de avaliação dos riscos.Luis 37 de 55 . 51 Na elaboração do plano de continuidade do negócio de uma organização. Prof. que é importante para a preparação da declaração de aplicabilidade. Correto.com. Errado! Tais procedimentos são executados na etapa de monitoração e avaliação do SGSI.br 01624136451 . mas também os procedimentos de emergência após a ocorrência de um incidente. devem ser considerados não apenas os procedimentos de recuperação das atividades. a direção deve analisá-lo em intervalos planejados. A Norma ISO 27001 não cita o termo “estratégia de avaliação dos riscos”. Victor Dalton www. 49 Para assegurar que o SGSI continua conveniente com a realidade da organização. Errado! Questão maldosa. 48 Para se estabelecer um SGSI. 50 A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI. mas sim “metodologias para análise/avaliação” dos riscos. 01624136451 (CESPE – SERPRO – Analista – Negócios em Tecnologia da Informação – 2013) Acerca da segurança da informação.estrategiaconcursos.

Prof. tornou os dados pessoais do usuário acessíveis ao remetente da mensagem. devem-se executar as ações corretivas e preventivas necessárias para alcançar a melhoria contínua do SGSI. sugeria que fosse instalada uma ferramenta de desinfecção. 54 Os rótulos físicos são a forma mais usada para definir a classificação de uma informação.Luis 38 de 55 . supostamente vinda do provedor de Internet. Aproveitando-se da “inocência” e do treinamento insuficiente do usuário. ou seja. Memorize a tabela abaixo! 53 Considere que uma mensagem de correio eletrônico. é correto afirmar que houve um ataque de engenharia social. Victor Dalton www. mas são substituídos. Nessa situação hipotética. A etapa do (fazer) corresponde a manter e melhorar os sistemas de gestão de segurança da informação (SGSI).com.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 52 Pode ser identificada uma equivalência entre o modelo de gestão PDCA (plan-do-check-act) e a estrutura proposta pela norma ISO-IEC 27001. Considere ainda que na verdade. após a instalação. 01624136451 Correto. sob a alegação de que o computador que recebia a mensagem estava infectado por um vírus.estrategiaconcursos. Errado! A etapa do corresponde à implementar e operar o SGSI.br 01624136451 . a ferramenta oferecida era um programa malicioso que. em algumas situações. por procedimentos e metadados.

01624136451 Correto. os riscos são aceitáveis. Errado! Inclusive há a previsão de estabelecimento de processo disciplinar formal para aqueles que violam as normas de segurança. por exemplo. 57 De acordo com a referida norma.br 01624136451 . Prof. se baseia no modelo PDCA (plan do check act).estrategiaconcursos.com.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 Correto.Luis 39 de 55 . 58 O processo do Sistema de Gestão de Segurança da Informação (SGSI). julgue os itens subsecutivos. desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos. Correto. Correto. Documentos eletrônicos protegidos por senhas e níveis de acesso não terão rótulo físico. estabelecido pela norma NBR ISO/IEC 27001:2006. (CESPE – Ministério das Comunicações – Atividade Técnica de Complexidade Gerencial – Especialidade 25 – 2013) Em relação aos conceitos básicos da NBR ISO/IEC 27001:2006. portanto o tratamento das consequências advindas da violação das normas de segurança não é de sua competência. 56 A norma em tela prevê que o SGSI inclua uma estrutura para definir objetivos e estabeleça direcionamento global para ações relativas à segurança da informação. 55 A política de segurança da informação (PSI) deve buscar o comprometimento integral de toda a organização. Victor Dalton www.

apesar de envolver a comparação do risco estimado com critérios de risco predefinidos para determinar a importância do risco em relação à segurança da informação.Luis 40 de 55 . do modelo PDCA (plan. 59 No estabelecimento do SGSI. Correto.1) 61 Na fase check. E a documentação so SGSI deve incluir não só uma descrição da metodologia de análise/avaliação de riscos como também deve conter o relatório de análise/avaliação de riscos. (item 4. refere-se a sistema de gestão de segurança da informação. act). a organização deve preparar uma declaração de aplicabilidade que inclua os objetivos de controle e controles selecionados e as razões para sua seleção e os objetivos de controle e controles atualmente implementados. 60 A avaliação de riscos. a medição do desempenho de um processo frente à política. sempre que utilizada.3. Correto. claro. Victor Dalton www. acerca da norma NBR ISO/IEC 27001:2006.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 (CESPE – ANTT – Analista Administrativo – Infraestrutura de TI – 2013) Julgue os itens a seguir. ocorre. Nesse sentido. considere que a sigla SGSI. não faz parte da documentação do SGSI. check. Também devem ser apresentados os resultados para a análise crítica pela direção.estrategiaconcursos.com. do plano de tratamento de riscos. 62 Um SGSI é projetado para assegurar a seleção de controles de segurança adequados para proteger os ativos de informação e propiciar confiança às partes envolvidas. aos objetivos e à experiência prática do SGSI. 01624136451 Correto. Errado! Naturalmente faz parte! Na etapa estabelecer o SGSI os riscos são identificados e avaliados. Prof. além da monitoração e análise crítica do SGSI. Além. do.br 01624136451 .

Correto. requisitos de segurança. a organização deve executar procedimentos para prontamente determinar se as ações tomadas para solucionar uma violação de segurança foram eficazes. detecção e resposta a incidentes. e tamanho e estrutura da organização. assim como implantar os controles selecionados para atender aos objetivos de controle. Fazer (Do). Prof. a forma de implantação do SGSI é influenciada por necessidades e objetivos. análise crítica e auditoria. 01624136451 Correto. Correto. bem como o tratamento destinado aos requisitos legais e regulamentares e às obrigações contratuais de segurança da informação. Victor Dalton www. para assegurar o apoio dos procedimentos de segurança da informação aos requisitos de negócio.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 63 A organização deve prover os recursos necessários tanto no estabelecimento quanto na manutenção do SGSI. manutenção.com. mesmo que estes possam contribuir com o seu conteúdo ou sintam-se responsáveis pela estratégia de segurança adotada na empresa. Checar (Check) e Agir (Act). 65 Na fase de implementação e operação do SGSI.estrategiaconcursos. Todas essas etapas são contempladas nas fases Planejar (Plan). (CESPE – SERPRO – Analista – Suporte Técnico – 2013) 64 De acordo com a norma ISO 27001.br 01624136451 . Acerca desse assunto e com base na especificação de segurança da informação descrita na norma ISO 27001. atuação. processos empregados. Por sua vez. 66 Não é conveniente que os documentos requeridos pelo SGSI sejam distribuídos para todos os funcionários da organização.Luis 41 de 55 . (CESPE – SERPRO – Técnico – Operação de Redes – 2013) A adoção de um sistema de gestão de segurança da informação (SGSI) deve ser uma decisão estratégica para uma organização. conforme a necessidade exigida. a gestão de riscos é um processo que inclui prevenção. julgue os itens a seguir.

Luis 42 de 55 . na verdade. Além de identificar não-conformidades. para então preparar-se a Declaração de Aplicabilidade. Victor Dalton www. é necessário executar as ações corretivas e preventivas.2) 67 Entre as etapas de monitoração de um SGSI. etc. registrar os resultados das ações executadas e analisar criticamente as ações corretivas executadas. está contida em estabelecer o SGSI. Correto. que. Outra coisa são os documentos requeridos pelo SGSI. Não confunda! Uma coisa é o Documento da Política de Segurança da Informação estar disponível a todos os funcionários. 68 O procedimento documentado que atenda aos requisitos do SGSI para ação corretiva deve definir requisitos para determinar as causas de não conformidades.estrategiaconcursos. Errado! Essas ações são executadas na fase manter e melhorar o SGSI.br 01624136451 . com base nos resultados da auditoria interna.com. está prevista a construção de um texto com todos os objetivos de controle e seus respectivos controles. possui conteúdo sensível. (CESPE – TELEBRAS – Especialista – Analista de TI – 2013) Com referência à norma NBR ISO/IEC 27001:2006.3. 01624136451 69 No do (fazer) do modelo PDCA aplicado aos processos do SGSI (sistema de gestão de segurança da informação). (item 8. Tal etapa. avaliar a necessidade de ações para assegurar que aquelas não-conformidades não ocorram novamente. Prof. determinar e implementar as ações corretivas necessárias. Tais documentos devem ser protegidos e controlados. Essas informações farão parte da declaração de aplicabilidade que deve ser submetida à autorização e a posterior aprovação pela diretoria da empresa. (item 4. por conter detalhes sobre avaliação de riscos. da análise crítica realizada pela direção ou de outra informação pertinente. julgue os itens a seguir.2).Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 Correto. Errado! Objetivos de controle e controles devem ser selecionados na Norma. para se alcançar a melhoria contínua.

O procedimento documentado para ação corretiva deve definir requisitos para identificar não-conformidades e registrar os resultados das ações executadas. recomendo a leitura dos textos. e não há muita “manobra didática” para tornar o assunto mais trivial e intuitivo. Errado! O objetivo da ISO 27002 é um código de prática para a gestão da segurança da informação. Entendendo o que eu chamo de “espírito” das normas. Item 8. sigo pelo caminho de mostrar a metodologia de cobrança. de forma a evitar a sua repetição.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 70 Definir requisitos para registrar os resultados de ações executadas é uma forma de prevenção realizada com o objetivo de eliminar as causas de não conformidades potenciais alinhadas aos requisitos do SGSI. percebe que é possível responder acertadamente usando o bom senso. Correto. Victor Dalton www. Bons estudos.estrategiaconcursos. Por isso. 71 (CESPE – CGE/PI – Auditor Governamental – 2015) O objetivo principal da norma ISO/IEC 27002 é implantar um sistema de gestão da segurança da informação (SGSI). mesmo sem ter decorado todo o texto.2 da norma.com. encerramos nosso curso! As normas são matérias essencialmente teóricas. você é capaz de olhar para uma questão e. pelo menos uma vez. A organização deve executar ações para eliminar as causas de não-conformidades com os requisitos do SGSI. CONSIDERAÇÕES FINAIS Pois bem amigos. estudem as outras matérias e que venha o edital! Victor Dalton Prof.br 01624136451 .Luis 43 de 55 . Quem implementa um SGSI é a ISO 27001. 01624136451 Mesmo assim.

no contexto da ação preventiva. Victor Dalton www. monitoração. manutenção e melhoria do sistema de gestão de sistemas de informação (SGSI). (CESPE – ANATEL – Analista – Infraestrutura de TI – 2014) Julgue os itens a seguir a respeito das normas ISO/IEC 27001 e ISO/IEC 27002 e do sistema de gestão de segurança da informação (SGSI). recomenda-se que. a organização identifique tanto alterações nos riscos quanto os consequentes requisitos de ações preventivas.br 01624136451 . a norma em questão não cobre empresas de pequeno porte. considere que a sigla SGSI. análise crítica. julgue os itens que se seguem.Luis 44 de 55 . o Do (fazer) do PDCA executa ações corretivas e preventivas Prof. operação. 5 A fim de se alcançar a melhoria contínua na implementação e na operação do SGSI. 4 Na norma ISO 27001. se refere a sistema de gestão de segurança da informação. CHECK — monitorar e analisar criticamente o SGSI. 3 A norma ISO 27002 recomenda que as chaves criptográficas usadas para as assinaturas digitais de documentos eletrônicos sejam idênticas àquelas usadas para a criptografia desses documentos: a padronização das chaves garante maior segurança aos documentos. DO — implementar e operar o SGSI. que apresenta as seguintes etapas: PLAN — estabelecer o SGSI. Com relação a esse assunto. sempre que utilizada.com. 2 A referida norma adota o modelo de melhoria contínua PDCA. e ACT — manter e melhorar o SGSI.estrategiaconcursos. 1 Devido a questões econômicas. 01624136451 (CESPE – SUFRAMA – Analista – Tecnologia da Informação – 2014) Nesse sentido.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 LISTA DE EXERCÍCIOS (CESPE – ANATEL – Analista – Desenvolvimento de Sistemas de Informação – 2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para prover um modelo de estabelecimento. implementação. especialmente no que diz respeito aos riscos que tenham sofrido alterações significativas.

01624136451 10 No modelo PDCA (Plan. 6 A identificação do que não está de acordo e o registro dos resultados das ações executadas são procedimentos que visam eliminar as causas de não conformidade com os requisitos do SGSI. julgue o item seguinte. uma análise de riscos deve ser realizada somente quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização. (CESPE – SERPRO – Analista – Administração de Serviços de Tecnologia da Informação – 2013) No que concerne à norma ABNT NBR ISO/IEC 27002. é permitido que o administrador de sistemas suprima ou desative o registro (log) de suas próprias atividades em caso de falta de espaço em disco. Victor Dalton www.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 a partir dos resultados da auditoria interna do SGSI e da análise crítica pela direção ou de outra informação pertinente.º 27002:2005.º 27002:2005. 7 Para alcançar os objetivos de controle identificados. Act) aplicado aos processos do SGSI. a utilização de equipamentos fora das dependências da organização requer obrigatoriamente a autorização prévia da administração. (CESPE – TJ/SE – Analista – Análise de Sistemas – 2014) Com base nas normas ABNT NBR ISO/IEC n. 8 Para evitar o vazamento de informações corporativas.Luis 45 de 55 . Do. 9 De acordo com a norma ISO/IEC n. que gera prejuízos enormes às organizações. julgue os itens a seguir. faz parte da etapa Do do modelo PDCA implementar o plano de tratamento de riscos que inclua as considerações de financiamentos e a atribuição de papéis e responsabilidades.com.br 01624136451 . Prof.estrategiaconcursos. 11 O documento de política de segurança da informação declara o comprometimento da alta direção da organização e descreve os requisitos de conscientização e treinamento em segurança da informação. relativos à gestão de segurança da informação.º 27001:2006 e n. Check.

16 A norma em apreço estabelece diretrizes e princípios para a segurança da informação. pois não visa à obtenção de certificação. objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002. 01624136451 (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) Com relação a conteúdo prático. finalmente. que estabelece o código de prática para a gestão da segurança da informação. 13 Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional. Prof.estrategiaconcursos.Luis 46 de 55 . pois a implementação é de responsabilidade do SGSI. no entanto a implementação de seus objetivos de controles e dos controles não garante o atendimento aos requisitos de segurança da informação. julgue os itens que se seguem. a partir da legislação vigente. 14 Requisitos de segurança da informação podem ser obtidos a partir da análise/avaliação dos riscos da organização com base nos seus objetivos estratégicos. 15 A proteção de dados e privacidade de informações pessoais.br 01624136451 . de registros organizacionais e os direitos de propriedade intelectual muitas vezes são vistos erroneamente como controles essenciais para uma organização.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) Com base nos aspectos gerais da norma ABNT NBR ISO/IEC 27002. 12 A conformidade não é um dos conteúdos da referida norma.com. a partir dos requisitos do negócio para o processamento da informação que a organização desenvolve para realizar suas operações. principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança. julgue os itens. e. 17 Cabe exclusivamente aos gestores e administradores a coordenação da segurança da informação dentro de uma organização. Victor Dalton www. já que essa incumbência fica a cargo de empresas privadas responsáveis pala análise de conformidade da prática de empresas às práticas recomendadas tanto pela NBR 27002 quanto pela NBR 27001.

19 Em gestão da segurança da informação. não faz parte do tratamento do risco. não ao que se evita. De acordo com a norma vigente. na política de segurança da informação. de modo a eliminar a ocorrência de suas consequências e. só devem ser classificadas as informações que possuam algum valor para a organização. 01624136451 24 A norma em questão recomenda que sejam incluídas. integridade e disponibilidade. 25 Recuperação de erros. procedimentos de reinicialização e planos de contingência. a realização da atividade que o ocasionaria. veda-se. mas não devem fazer parte do documento da política em si. 21 A ação de se evitar um risco. nessa norma. não havendo.com. incluindo até responsabilidades que se estendam para fora das dependências da organização e fora dos horários normais de trabalho. Victor Dalton www. naturalmente. indicação de parâmetros para outros tipos de requisitos a serem considerados. 22 As consequências da violação da política de segurança devem ser incluídas em um plano de tratamento de riscos.br 01624136451 .Luis 47 de 55 . aquelas cuja divulgação traga algum malefício financeiro ou de imagem a qualquer indivíduo que nela trabalhe. apesar de serem bem específicos ao processo de aceitação de sistemas. à luz do resultado do desempenho do processo e de acordo com a política de segurança da informação. convém que a política de segurança seja analisada crítica e periodicamente. declarações que esclareçam termos e condições de trabalho de recursos humanos.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 18 A responsabilidade por um ativo de informação na organização deve ser atribuída às equipes de suporte estabelecidas e nomeadas. responsabilizar um usuário por um ativo inventariado. pois o tratamento refere-se ao risco que se toma. devem ser considerados para minimizar os riscos de falhas de Prof. 23 Segundo a citada norma. ou seja. 20 Uma informação deve ser classificada de acordo com os seus requisitos de confidencialidade. por exemplo.estrategiaconcursos.

002 da ABNT.br 01624136451 .002:2005. 01624136451 (CESPE – ANTT – Analista Administrativo – Infraestrutura de TI – 2013) Julgue os itens subsequentes. Deve ainda ser implantada uma área de recepção. 29 De acordo com a referida norma. danos e interferências com as instalações e com as informações da organização. seções e etapas são aplicáveis apenas a organizações de grande envergadura. 31 Na implementação de segurança física e segurança do ambiente em uma organização. 28 A utilização de VPN (virtual private network) entre o usuário e o ponto de acesso que difunde o sinal em uma rede wireless garante confidencialidade e integridade ao tráfego da rede.com. todos os itens de controle. julgue os itens a seguir. (CESPE – Banco Central do Brasil – Analista – Área 2 – 2013) Julgue os itens a seguir com base na norma NBR ISO/IEC n.Luis 48 de 55 .Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 sistemas. 27 As informações operacionais incluídas no ambiente antes dos testes de intrusão devem ser nele mantidas após o teste.estrategiaconcursos. (CESPE – Ministério das Comunicações – Atividade Técnica de Complexidade Gerencial – Especialidade 25 – 2013) A respeito da norma NBR ISO/IEC 27. 26 A norma referida recomenda que se realizem treinamento. educação e conscientização de pessoas apenas antes da contratação. a respeito da norma NBR ISO/IEC 27002. Prof. 30 A norma NBR citada acima prevê onze seções sobre o tratamento de riscos de segurança da informação. para assegurar que os novos recursos humanos saibam agir com segurança diante das atividades a serem desenvolvidas por eles. no gerenciamento de operações e comunicações preconizado pela norma 27002. Victor Dalton www. de modo que o acesso a locais definidos como área seguras fiquem restritos somente ao pessoal da organização. devem ser definidas áreas seguras para prevenir acessos físicos não autorizados.º 27.

Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 32 Na gestão dos ativos. 34 Na aplicação de controle de segurança. por natureza. 01624136451 38 Entre os controles referentes ao gerenciamento de acesso do usuário.br 01624136451 . por questão de segurança. como os que utilizam macro e tokens.estrategiaconcursos. cujo objetivo principal é manter a proteção adequada dos ativos da organização. 35 Conforme prevê a norma em apreço. Prof. dispensa-se o controle do SGSI no que diz respeito a segurança da informação. 36 A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos. tendo-se em vista assegurar o acesso autorizado e prevenir o não autorizado. em acordo com terceiros referente à aquisição de produtos de TI.com. as senhas devem ser modificadas no primeiro acesso ao sistema e devem ser incluídas em processos automáticos de acesso ao sistema. visto que são. julgue os itens subsequentes. o anexo em questão estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares. (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) No que se refere aos objetivos de controle. 33 De acordo com a norma em questão. funções e áreas de responsabilidade devem ser realizadas de forma conjunta. informações não confidenciais. contidos no Anexo A (normativo) ABNT NBR ISO/IEC 27001. pelas mesmas pessoas para reduzir as oportunidades de modificação.Luis 49 de 55 . Victor Dalton www. ou seja. não pode delegar a implementação dos controles. é importante que os principais ativos de informação sejam inventariados e atribuídos a um proprietário responsável que. 37 A integridade de informações disponibilizadas em sistemas acessíveis publicamente não precisa ser alvo da política de segurança. públicas.

gerenciamento de privilégios e gerenciamento de senha do usuário. o que impossibilita contatos com grupos de interesses especiais ou ainda a promoção de fóruns especializados de segurança da informação e associações profissionais. bem como a possibilidade de transferência dos riscos para outras partes. 41 Segundo a norma ISO/IEC 27001:2006. bem como as possíveis ameaças aplicadas a tais ativos e as vulnerabilidades por elas exploradas. em razão de seu caráter privativo. Victor Dalton www. devem-se identificar e avaliar as opções para o tratamento de riscos. de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. 40 De acordo com a norma ISO/IEC 27001:2006. (CESPE – Polícia Federal – Perito – Área 3 – 2013) Com relação à norma ISO/IEC 27001:2006. O documento da política de segurança da informação necessita da aprovação da direção da organização e Prof. 44 Uma política de segurança da informação deve fornecer orientação e apoio da direção para a segurança da informação.Luis 50 de 55 . detalhando os ativos dentro do escopo do SGSI e os seus proprietários. julgue os itens a seguir. 42 Segundo a norma ISO/IEC 27001:2006.com.estrategiaconcursos. cujas ações englobam a aceitação consciente dos riscos (desde que satisfaçam às políticas estabelecidas dentro da organização).br 01624136451 .Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 39 A referida norma é explícita ao afirmar que. as políticas e procedimentos de segurança de uma organização não podem ser expostos à opinião de outros. 01624136451 43 O gerenciamento de acesso do usuário é plenamente implementado pelos seguintes controles: registro de usuário. como seguradoras e fornecedores. no estabelecimento do Sistema de Gestão da Segurança da Informação (SGSI). a formulação de um plano de tratamento de riscos que identifique a ação apropriada. os recursos. (CESPE – TCE/ES – Auditor de Controle Externo – Tecnologia da Informação – 2012) Segundo as normas NBR ISO/IEC 27001 e 27002. a organização deve elaborar uma declaração de aplicabilidade. as responsabilidades e as prioridades para a gestão de riscos está relacionada à etapa Do do ciclo PDCA. julgue os itens a seguir. a respeito de gestão de segurança da informação.

gestão de segurança da informação. considere que a sigla SGSI. 49 Para assegurar que o SGSI continua conveniente com a realidade da organização. o escopo do SGSI e o plano de tratamento de risco. julgue os itens subsequentes. devem ser considerados não apenas os procedimentos de recuperação das atividades. (CESPE – SERPRO – Analista Tecnologia da Informação – 2013) A 27001. mas também os procedimentos de emergência após a ocorrência de um incidente. julgue os itens a seguir. 45 Na NBR ISO/IEC 27001. são estabelecidos controles que regem o uso e a configuração de códigos móveis claramente autorizados. refere-se a sistema – Administração de Serviços de respeito da norma ABNT NBR ISO/IEC sentido. 46 Entre os documentos que fazem parte da documentação de um SGSI.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 deve ser publicado e comunicado para todos os funcionários e partes externas relevantes. não devendo ser alterado a partir de então. 48 Para se estabelecer um SGSI. é necessário definir a estratégia de avaliação dos riscos.Luis 51 de 55 .estrategiaconcursos. ocorrem as auditorias internas em intervalos planejados. estão incluídas a declaração da política do SGSI. em concordância com a política de segurança da informação. a direção deve analisá-lo em intervalos planejados.br 01624136451 .com. 50 A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI. que é importante para a preparação da declaração de aplicabilidade. Victor Dalton www. 01624136451 (CESPE – SERPRO – Analista – Negócios em Tecnologia da Informação – 2013) Acerca da segurança da informação. 51 Na elaboração do plano de continuidade do negócio de uma organização. Prof. Nesse sempre que utilizada. 47 Na etapa de melhoria do SGSI.

Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 52 Pode ser identificada uma equivalência entre o modelo de gestão PDCA (plan-do-check-act) e a estrutura proposta pela norma ISO-IEC 27001. Nessa situação hipotética. Victor Dalton www. 54 Os rótulos físicos são a forma mais usada para definir a classificação de uma informação. os riscos são aceitáveis. 01624136451 56 A norma em tela prevê que o SGSI inclua uma estrutura para definir objetivos e estabeleça direcionamento global para ações relativas à segurança da informação.Luis 52 de 55 . após a instalação. desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos. julgue os itens subsecutivos. sugeria que fosse instalada uma ferramenta de desinfecção. 55 A política de segurança da informação (PSI) deve buscar o comprometimento integral de toda a organização. mas são substituídos.com. (CESPE – Ministério das Comunicações – Atividade Técnica de Complexidade Gerencial – Especialidade 25 – 2013) Em relação aos conceitos básicos da NBR ISO/IEC 27001:2006. 53 Considere que uma mensagem de correio eletrônico. tornou os dados pessoais do usuário acessíveis ao remetente da mensagem. ou seja. em algumas situações. 57 De acordo com a referida norma.br 01624136451 . Considere ainda que na verdade. portanto o tratamento das consequências advindas da violação das normas de segurança não é de sua competência.estrategiaconcursos. por procedimentos e metadados. é correto afirmar que houve um ataque de engenharia social. sob a alegação de que o computador que recebia a mensagem estava infectado por um vírus. a ferramenta oferecida era um programa malicioso que. A etapa do (fazer) corresponde a manter e melhorar os sistemas de gestão de segurança da informação (SGSI). Prof. devem-se executar as ações corretivas e preventivas necessárias para alcançar a melhoria contínua do SGSI. supostamente vinda do provedor de Internet.

a organização deve preparar uma declaração de aplicabilidade que inclua os objetivos de controle e controles selecionados e as razões para sua seleção e os objetivos de controle e controles atualmente implementados. a gestão de riscos é um processo que inclui prevenção. refere-se a sistema de gestão de segurança da informação. do.com.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 58 O processo do Sistema de Gestão de Segurança da Informação (SGSI). apesar de envolver a comparação do risco estimado com critérios de risco predefinidos para determinar a importância do risco em relação à segurança da informação. Victor Dalton www. não faz parte da documentação do SGSI. (CESPE – ANTT – Analista Administrativo – Infraestrutura de TI – 2013) Julgue os itens a seguir. bem como o tratamento destinado aos requisitos legais e regulamentares e às obrigações contratuais de segurança da informação. se baseia no modelo PDCA (plan do check act). ocorre. do modelo PDCA (plan. (CESPE – SERPRO – Analista – Suporte Técnico – 2013) 64 De acordo com a norma ISO 27001.br 01624136451 . check. 59 No estabelecimento do SGSI. atuação. conforme a necessidade exigida. 61 Na fase check. acerca da norma NBR ISO/IEC 27001:2006. estabelecido pela norma NBR ISO/IEC 27001:2006.Luis 53 de 55 . para assegurar o apoio dos procedimentos de segurança da informação aos requisitos de negócio. análise crítica e Prof. act).estrategiaconcursos. sempre que utilizada. 60 A avaliação de riscos. 62 Um SGSI é projetado para assegurar a seleção de controles de segurança adequados para proteger os ativos de informação e propiciar confiança às partes envolvidas. aos objetivos e à experiência prática do SGSI. 01624136451 63 A organização deve prover os recursos necessários tanto no estabelecimento quanto na manutenção do SGSI. a medição do desempenho de um processo frente à política. considere que a sigla SGSI. além da monitoração e análise crítica do SGSI. manutenção. detecção e resposta a incidentes. Nesse sentido.

a organização deve executar procedimentos para prontamente determinar se as ações tomadas para solucionar uma violação de segurança foram eficazes. 67 Entre as etapas de monitoração de um SGSI. da análise crítica realizada pela direção ou de outra informação pertinente.estrategiaconcursos. assim como implantar os controles selecionados para atender aos objetivos de controle. para se alcançar a melhoria contínua. e tamanho e estrutura da organização. a forma de implantação do SGSI é influenciada por necessidades e objetivos. 01624136451 68 O procedimento documentado que atenda aos requisitos do SGSI para ação corretiva deve definir requisitos para determinar as causas de não conformidades.br 01624136451 . (CESPE – SERPRO – Técnico – Operação de Redes – 2013) A adoção de um sistema de gestão de segurança da informação (SGSI) deve ser uma decisão estratégica para uma organização. 65 Na fase de implementação e operação do SGSI. Por sua vez. Victor Dalton www. julgue os itens a seguir. (CESPE – TELEBRAS – Especialista – Analista de TI – 2013) Com referência à norma NBR ISO/IEC 27001:2006. Acerca desse assunto e com base na especificação de segurança da informação descrita na norma ISO 27001.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 auditoria. com base nos resultados da auditoria interna. Essas informações farão parte da declaração de aplicabilidade que deve ser submetida à autorização e a posterior aprovação pela diretoria da empresa. Fazer (Do). requisitos de segurança. é necessário executar as ações corretivas e preventivas. julgue os itens a seguir. Todas essas etapas são contempladas nas fases Planejar (Plan). mesmo que estes possam contribuir com o seu conteúdo ou sintam-se responsáveis pela estratégia de segurança adotada na empresa. 66 Não é conveniente que os documentos requeridos pelo SGSI sejam distribuídos para todos os funcionários da organização. processos empregados. Checar (Check) e Agir (Act). está prevista a construção de um texto com todos os objetivos de controle e seus respectivos controles. 69 No do (fazer) do modelo PDCA aplicado aos processos do SGSI (sistema de gestão de segurança da informação).com. Prof.Luis 54 de 55 .

e 13.e 29.e 37.e 57.c 68.c 16.c .e 45.c 7.e 27.e 15.e 28.c 34.c 5.e 70.c 17. Victor Dalton www.e 65.c 12.e 41.c 52.e 30. GABARITO CESPE 1.e 43.c 6.e 39.e 18.c 61.c 46.e 25.estrategiaconcursos.e 60.e 68.c 4.e 2.c 24.e 32.c 33.c 3.e 26.e 10.c 56.e 40.e 19.c 63.Tecnologia da Informação para MPOG Analista de TI PGPE Prof Victor Dalton Aula 09 70 Definir requisitos para registrar os resultados de ações executadas é uma forma de prevenção realizada com o objetivo de eliminar as causas de não conformidades potenciais alinhadas aos requisitos do SGSI.c 59.c 14.e 62.e 44.e 11.c 71.c 48.e 51.Luis 55 de 55 9.e 8.c 50.c 64.e 36.e 49.e 31.e 53.c 55.c 38.c 23.e 20. 71 (CESPE – CGE/PI – Auditor Governamental – 2015) O objetivo principal da norma ISO/IEC 27002 é implantar um sistema de gestão da segurança da informação (SGSI).c 35.com.e 42.c 21.e 22.c 01624136451 Prof.e 47.c 66.br 01624136451 .e 54.c 69.c 67.