Embed Size (px)
Citation preview
2012
LhugoJr
Versão 1.0
05/12/2012
Questões Comentadas – ISO 27001
LhugoJr Página 1
Introduçao Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes:
TECNOLOGIA DA INFORMAÇÃO - QUESTÕES COMENTADAS CESPE/UNB - http://www.dominandoti.com.br/livros
TI – SEGURANÇA DA INFORMAÇÃO PARA CONCURSOS – NÍVEL AVANÇADO - http://socratesfilho.com/cursos-teorico/seguranca-da-informacao-para-concursos/
Provas de TI – www.provasdeti.com.br
Também foram usadas outras fontes, como livros, comentários do site Questões de Concursos, etc.
Os comentários são sempre feitos colocando as fontes encontradas, algumas questões são mais difíceis de encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros.
Espero que ajude.
Abraços.
Notas da Versao Essa é a versão 1.0, sendo a maioria das questões da banca CESPE, com o tempo espero acrescentar muito mais questões.
Caso encontre algum erro nesta versão pode mandar um e-mail para [email protected], colocando o número da questão e o erro encontrado.
Você também pode ajudar a melhorar os comentários, alguns comentários podem estar com o nível fraco, isso ocorre quando não são encontradas fontes que tratam sobre o tema da questão. Caso você encontre alguma fonte ou queira melhorar o comentário mande um e-mail.
LhugoJr Página 2
1 ISO 27001
1.1 CESPE
(CESPE - TCU 2007 – Analista de Controle Externo – Tecnologia da Informação)
1) A ISO 17799 define diretrizes para certificação de que uma organização está em conformidade à própria norma. Essa certificação é conferida por meio de uma auditoria de terceira parte, nos moldes da ISO 19011.
A ISO 17799 não define processo de certificação. Esse processo só foi definido na norma 27001:2006. Portanto a questão está errada.
(CESPE – SERPRO 2008 – Analista – Especialidade: Redes de Computadores)
2) A definição de critérios para aceitação de riscos é uma das responsabilidades da alta administração, segundo a norma NBR ISO/IEC 27001.
Segundo a norma:
Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.
A questão está correta. É a alta administração que deve aceitar os riscos.
3) Para assegurar que os controles, objetivos de controle e processos sejam executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001 recomenda a realização de auditorias externas em intervalos regulares de, no máximo, seis meses.
A norma fala no item 4.2.3 Monitorar e analisar criticamente o SGSI:
e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seção 6).
NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da própria organização para propósitos internos.
Ainda temos na 27001:
6 Auditorias internas do SGSI
A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI:
a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes; b) atendem aos requisitos de segurança da informação identificados; c) estão mantidos e implementados eficazmente; e d) são executados conforme esperado.
A norma não fala nada em auditoria externa e nem fala sobre o prazo. Portanto o item está errado.
4) Entre as atividades contempladas na fase agir (act) está a necessidade de identificar não-conformidades potenciais e suas causas, objetivando alcançar a melhoria contínua do sistema de gestão de segurança da informação.
LhugoJr Página 3
Na norma podemos encontrar a seguinte figura e tabela:
Usando ainda o comentário do professor Sócrates:
A identificação de ações corretivas e preventivas está compreendida na fase “checar” (check), pois fazem parte da etapa de monitoração e avaliação crítica do SGSI. Já a execução dessas ações, que englobam a melhoria do SGSI, está na fase “agir” (act).
Portanto a questão está errada.
5) A norma NBR ISO/IEC 27001 recomenda a adoção de abordagem qualitativa para a realização da análise de risco.
Na norma não foi encontrado nenhum recomendação sobre abordagem qualitativa ou quantitativa, a norma somente fala em análise de risco. Portanto o item está errado.
(CESPE - ANATEL 2009 – Analista Administrativo: TI – Arquitetura de soluções)
6) Considere as diferentes fases do ciclo de gestão no modelo da figura — plan, do, check e act. A definição de critérios para a avaliação e para a aceitação dos riscos de segurança da informação que ocorrem no
LhugoJr Página 4
escopo para o qual o modelo da figura está sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do.
Na norma podemos encontrar a seguinte tabela:
Tabela B.1 — Princípios da OECD e o modelo PDCA
Princípios da OECD Correspondência entre o processo do ISMS e a fase do PDCA
Conscientização Convém que os participantes estejam conscientes da necessidade de segurança de sistemas de informação e redes e do que eles podem fazer para aumentar a segurança.
Esta atividade é parte da fase ‘Fazer’ (Do) (ver 4.2.2 e 5.2.2).
Responsabilidade Todos os participantes são responsáveis pela segurança de sistemas de informação e redes.
Esta atividade é parte da fase ‘Fazer’ (Do) (ver 4.2.2 e 5.1).
Resposta Convém que os participantes ajam de modo oportuno e cooperativo para prevenir, detectar e responder a incidentes de segurança da informação.
Esta é, em parte, uma atividade de monitoração da fase ‘Checar’ (Check) (ver 4.2.3 e 6 a 7.3) e uma atividade de resposta da fase ‘Agir’ (Act) (ver 4.2.4 e 8.1 a 8.3). Isto também pode ser coberto por alguns aspectos das fases ‘Planejar’ (Plan) e ‘Checar’ (Check).
Análise/Avaliação de riscos Convém que os participantes conduzam análises/avaliações de risco.
Esta atividade é parte da fase ‘Planejar’ (Plan) (ver 4.2.1) e a reanálise/reavaliação dos riscos é parte da fase ‘Checar’ (Check) (ver 4.2.3 e 6 até 7.3).
Arquitetura e implementação de segurança Convém que os participantes incorporem a segurança como um elemento essencial de sistemas de informação e redes.
Uma vez finalizada a análise/avaliação de riscos, os controles são selecionados para o tratamento dos riscos como parte da fase ‘Planejar’ (Plan) (ver 4.2.1). A fase ‘Fazer’ (Do) (ver 4.2.2 e 5.2) então cobre a implementação e o uso operacional destes controles.
Gestão de segurança Convém que os participantes adotem uma abordagem detalhada para a gestão da segurança.
A gestão de riscos é um processo que inclui a prevenção, detecção e resposta a incidentes, atuação, manutenção, análise crítica e auditoria. Todos estes aspectos são cercados nas fases ‘Planejar’ (Plan), ‘Fazer’ (Do), ‘Checar’ (Check) e ‘Agir’ (Act).
Reavaliação Convém que os participantes analisem criticamente e reavaliem a segurança dos sistemas de informação e redes, e façam as modificações apropriadas nas políticas de segurança, práticas, medidas e procedimentos.
A reanálise/revaliação de segurança da informação é uma parte da fase ‘Checar’ (Check) (ver 4.2.3 e 6 até 7.3), onde análises críticas regulares devem ser realizadas para verificar a eficácia do sistema de gestão de segurança da informação, e a melhoria da segurança é parte da fase ‘Agir’ (Act) (ver 4.2.4 e 8.1 a 8.3).
Portanto a questão está errada. A definição de critérios para aceitação e avaliação dos riscos deve ocorrer na Fase Plan.
(CESPE – Ministério do Desenvolvimento Social - 2008– Técnico de Nível Superior (Nível V – TI))
7) Uma organização que reivindica conformidade com a norma ISO 27001 deve implementar pelo menos os requisitos necessários para o estabelecimento do sistema de gestão de segurança da informação (SGSI).
Usando o comentário do professor Sócrates:
LhugoJr Página 5
Ela deve implementar todos os requisitos para o estabelecimento do SGSI, para alegar que está em conformidade com a ISO/IEC 27001. A não conformidade em qualquer das seções, em regra, significa que a empresa não pode ser certificada como ISO 27001. Não confunda requisitos com os controles, já que estes podem não ser implementados desde que devidamente justificados na Declaração de Aplicabilidade.
(CESPE – ANAC 2009 – Analista Administrativo – Tecnologia da Informação)
8) Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos.
Na norma 27001, 4.2.2 Implementar e operar o SGSI:
A organização deve:
a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança (ver seção 5). b) Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades. c) Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle. d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis (ver 4.2.3c)).
O gabarito foi dado como correto, mas temos no item 4.2.3 Monitorar e analisar criticamente o SGSI:
c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos.
Portanto o gabarito está duvidoso, porque na Implementação e operação fala-se em definir como medir..., já no item Monitorar e analisar, fala-se em medir a eficácia.
9) O sistema de gestão de segurança da informação é o sistema global de gestão, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurança da informação.
Na norma podemos achar a seguinte definição:
Sistema de gestão da segurança da informação (SGSI) a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação
Portanto o item está errado. SGSI não é o sistema global e sim parte dele.
10) Disponibilidade é a garantia de que a informação é acessível ou revelada somente a pessoas, entidades ou processos autorizados a acessá-la.
Vamos as definições encontradas na norma:
Disponibilidade - propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade - propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados
A questão está errada, ela trocou confidencialidade por disponibilidade.
11) A política de segurança da informação dispõe de regras relativas ao estabelecimento do fórum multifuncional para coordenação da segurança da informação.
LhugoJr Página 6
Não foi encontrado nada na norma que fala sobre estabelecimento de fórum multifuncional. Portanto item errado.
(CESPE - TCU 2009 – Auditor Federal de Controle Externo – Tecnologia da Informação)
12) Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade.
Resumindo, sim estes documentos são encontrados na 27001. Portanto o item está correto. Vamos resumir o que está escrito.
DOCUMENTOS
• Declaração da política de segurança; • Relatório de análise/avaliação de risco; • Declaração de aplicabilidade
REGISTROS
• Livros de visitantes; • Relatórios de auditoria; • Ocorrências de incidentes de segurança; • Outros registros.
(CESPE – TRE/PR – 2009 – Analista Judiciário – Especialidade: Análise de Sistemas)
13) Tomar as ações corretivas e preventivas para alcançar a melhoria contínua, com base nos resultados da auditoria interna do SGSI, na revisão gerencial ou em outra informação pertinente, faz parte da fase do planejamento do SGSI.
As ações corretivas e preventivas faz parte da fase ACT (Manutenção e melhoria). Questão errada.
Plan (planejar) (estabelecer o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
Do (fazer) (implementar e operar o SGSI)
Implementar e operar a política, controles, processos e procedimentos do SGSI.
Check (checar) (monitorar e analisar criticamente o SGSI)
Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.
Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.
LhugoJr Página 7
(CESPE – IJSN/ES – 2010 – Especialista em Estudos e Pesquisas Governamentais – Informática e Gestão da Informação)
14) A norma ISO 27001 indica que uma política global de segurança da informação deve ser estabelecida antes da elaboração de uma declaração de aplicabilidade de controles de segurança, mas somente após a realização de uma análise/avaliação de risco formal.
Segundo o professor Sócrates Filho:
A declaração de aplicabilidade de controles de segurança deve ser estabelecida após a realização de uma análise/avaliação de risco formal.
Na norma, 4.2 Estabelecendo e gerenciando o SGSI, temos a seguinte sequência:
a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia c) Definir a abordagem de análise/avaliação de riscos da organização. d) Identificar os riscos. e) Analisar e avaliar os riscos. f) Identificar e avaliar as opções para o tratamento de riscos. g) Selecionar objetivos de controle e controles para o tratamento de riscos. h) Obter aprovação da direção dos riscos residuais propostos. i) Obter autorização da direção para implementar e operar o SGSI. j) Preparar uma Declaração de Aplicabilidade.
Podemos ver que está errado a sequência proposta na questão.
(CESPE – ANEEL – 2010 – Analista Administrativo – Área 3 – Tecnologia da Informação)
15) Os objetivos de controle e os controles pertinentes e aplicáveis ao SGSI da organização devem ser selecionados exclusivamente com base nos resultados e conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como controlar, evitar, transferir ou aceitar tais riscos.
O professor Sócrates fala sobre esta questão:
Os objetivos de controle e os controles deve ser selecionados com base nos resultados dos processo de análise/avaliação de riscos e das decisões de como tratar os riscos, mas a organização pode utilizar outros critérios (requisitos de conformidade legal, por exemplo) para essa seleção.
16) A classificação, a aposição de rótulos e o tratamento de um ativo de informação, em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização, são efetuados pelos usuários desse ativo.
Segundo a norma:
Um conjunto apropriado de procedimentos para rotular e tratar a informação deve ser definido e implementado de acordo com o esquema de classificação adotado pela organização.
LhugoJr Página 8
Portanto a questão está errada, a classificação, rotulação é feita pela organização.
17) Para cada usuário ou grupos de usuários, deve ser efetuada uma política de controle de acesso com regras e direitos, com os controles de acesso lógico e físico bem integrados.
Uma daquelas questões que são boa para aprender. O gabarito é correto. Portanto vale memorizar esta questão.
(CESPE – TCU - 2010 - Auditor Federal de Controle Externo – Tecnologia da Informação)
18) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI.
Usando mais uma vez a tabela:
Plan (planejar) (estabelecer o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
Do (fazer) (implementar e operar o SGSI)
Implementar e operar a política, controles, processos e procedimentos do SGSI.
Check (checar) (monitorar e analisar criticamente o SGSI)
Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.
Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.
Percebemos que a questão está errada.
19) Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos.
Mas um daquelas questões que vale a pena lembrar. Vamos melhorar o aprendizado:
GARANTIA DA CONTINUIDADE DO NEGÓCIO
MINIMIZAÇÃO DOS RISCOS
MAXIMIZAÇÃO DO RETORNO SOBRE OS INVESTIMENTO
20) (SERPRO/Analista/Negócios em Tecnologia da Informação/2010) Segundo a NBR 27001, um sistema de
gestão da segurança da informação apresenta o seguinte ciclo: estabelecimento, implementação e operação, monitoramento e revisão, e manutenção e melhoria do sistema.
Segundo o professor Gleyson Azevedo:
LhugoJr Página 9
NBR ISO/IEC 27001:2006 é composto das seguintes fases: estabelecimento, implementação e operação, monitoramento e análise crítica, manutenção e melhoria. Portanto esta questão está errada. Mas ela foi anulada.
21) (MCT/Tecnologista Jr/2008) Dependendo de seu tamanho ou natureza, uma organização pode
considerar um ou mais requisitos da norma ISO 27001 como não-aplicáveis e, ainda assim, continuar em conformidade com essa norma internacional.
No item 1.2 Aplicação, a 27001 fala:
Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A exclusão de quaisquer dos requisitos especificados nas seções 4, 5, 6, 7, e 8 não é aceitável quando uma organização reivindica conformidade com esta Norma.
Portanto questão errada.
22) (PREVIC/Analista Administrativo/Tecnologia da Informação/2011) A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).
No item 4.2.3 Monitorar e analisar criticamente o SGSI:
A organização deve:
a) Executar procedimentos de monitoração e análise crítica e outros controles para:
1) prontamente detectar erros nos resultados de processamento; 2) prontamente identificar tentativas e violações de segurança bem-sucedidas, e incidentes de segurança da informação; 3) permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado; 4) ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores; e 5) determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes.
Portanto a questão está correta.
23) (ANTAQ/Analista Administrativo/Informática/2009) As normas ABNT NBR ISO/IEC 27001:2006 e ABNT
NBR ISO/IEC 17799:2005 enunciam um mesmo conjunto de mais de cento e trinta controles de segurança, os quais, por sua vez, são agrupados em mais de 30 objetivos de controle, sendo a primeira das normas de redação mais abstrata que a segunda e com estrutura de seções parcialmente correspondente à da norma ABNT NBR ISO 9001:2000.
Usando como comentário, o professor Gleyson Azevedo:
Anulada. As normas 27001 (anexo A) e 27002 possuem um mesmo conjunto de 133 controles e 39 objetivos de controle. A norma 27001, por ser gerencial e não um código de prática, possui redação mais abstrata do que a 27002 e sua estrutura possui correlação com a norma ISO 9001:2000 (ABNT, 2006, pp. 32-33). A despeito disso, a banca anulou a questão alegando a presença de ambiguidade no texto, evidenciada pela expressão “a primeira das normas”, haja vista que o leitor poderia ficar em dúvida se a questão estava se referindo à primeira citada no texto ou à que foi primeiro publicada.
LhugoJr Página 10
24) (PREVIC/Analista Administrativo/Tecnologia da Informação/2011) Uma política de segurança eficaz parte da premissa do uso efetivo de um conjunto de ferramentas de segurança, como firewalls, sistemas de detecção de intrusos, validadores de senha e criptografia forte.
Vamos mais uma vez usar o comentário do professor Gleyson Azevedo:
A eficácia da política de segurança, bem como sua pertinência e adequação, não está associada à utilização de ferramentas específicas, mas a um processo de constante avaliação e implementação de ajustes, fundamentados na realização de análises críticas a intervalos planejados ou quando mudanças significativas ocorrerem (ABNT, 2005, p. 9).
Portanto a questão está errada.
25) (CESPE - 2012 - TRE-RJ - Analista Judiciário - Análise de Sistemas) A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma.
A 27001 não possui as diretrizes, e sim os requisitos para aplicação da SGSI. Portanto a questão está errada.
Usando uma definição da 27002, temos:
Diretriz - descrição que orienta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos nas políticas
26) (CESPE - 2012 - TRE-RJ - Analista Judiciário - Análise de Sistemas ) De acordo com o estabelecido na mencionada norma, a organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos.
A norma no item 4.2.1 Estabelecer o SGSI, nada fala em definir um plano diretor, segue o que está na norma (resumidamente):
A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2); b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que d) Identificar os riscos. e) Analisar e avaliar os riscos. f) Identificar e avaliar as opções para o tratamento de riscos. g) Selecionar objetivos de controle e controles para o tratamento de riscos. h) Obter aprovação da direção dos riscos residuais propostos. i) Obter autorização da direção para implementar e operar o SGSI. j) Preparar uma Declaração de Aplicabilidade.
Portanto a questão está errada
27) (CESPE - 2012 - TJ-AL - Analista Judiciário - Análise de Sistemas )Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação.
a) O sistema de gestão da segurança da informação (SGSI), componente do sistema de gestão global que se fundamenta na abordagem de riscos do negócio, é responsável pelo estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoramento da segurança da informação.
LhugoJr Página 11
b) Gestão de riscos consiste no processo de comparar o risco estimado com os critérios de risco predefinidos, a fim de determinar a importância do risco.
c) Evento de segurança da informação é um evento (ou uma série de eventos) que ocorre de maneira indesejada ou inesperada, podendo comprometer as operações do negócio e ameaçar a segurança da informação.
d) O incidente de segurança da informação consiste em um incidente que, caso seja identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível violação da política de segurança da informação, bem como de uma falha de controles ou de uma situação previamente desconhecida que possa ser relevante à segurança da informação
e) Confidencialidade corresponde à propriedade de classificar uma informação sigilosa como confidencial.
Segundo a norma temos:
Sistema de gestão da segurança da informação (SGSI) a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para Gestão de riscos - atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Avaliação de riscos - processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco Evento de segurança da informação - uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação Incidente de segurança da informação - um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Confidencialidade - propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados
Portanto a questão correta é a letra A.
28) (CESPE - 2012 - TJ-AL - Analista Judiciário - Análise de Sistemas) Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta em relação às auditorias internas do sistema de gestão da segurança da informação (SGSI).
a) Em um processo de auditoria interna os auditores auditam seu próprio trabalho.
b) Em uma auditoria interna, a definição das responsabilidades e dos requisitos é dispensável para o planejamento e a execução de um procedimento documentado.
c) As atividades de acompanhamento devem abranger a verificação das ações executadas e o relato dos resultados de verificação.
d) O responsável pela área a ser auditada deve assegurar que as ações sejam executadas com qualidade, para eliminar as não conformidades detectadas e as suas causas, não importando a quantidade de tempo despendido.
e) A objetividade e a imparcialidade são princípios que devem ser observados na seleção dos auditores; na execução de auditorias, contudo, em virtude de a auditoria ser uma atividade caracterizada pela discricionariedade, esses princípios não devem ser plenamente adotados.
Usando a 27001, temos:
LhugoJr Página 12
6 Auditorias internas do SGSI A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI: a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes; b) atendem aos requisitos de segurança da informação identificados; c) estão mantidos e implementados eficazmente; e d) são executados conforme esperado. Um programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo, frequência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho. As responsabilidades e os requisitos para planejamento e para execução de auditorias e para relatar os resultados e a manutenção dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado. O responsável pela área a ser auditada deve assegurar que as ações sejam executadas, sem demora indevida, para eliminar as não-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a verificação das ações executadas e o relato dos resultados de verificação (ver seção 8).
Portanto o gabarito é letra C
29) (CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas) Deve ser incluída na documentação do sistema de gestão de segurança da informação a identificação dos colaboradores da empresa.
No item 4.3 Requisitos de documentação, temos:
A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.
É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI.
A documentação do SGSI deve incluir:
a) declarações documentadas da política (ver 4.2.1b)) e objetivos do SGSI; b) o escopo do SGSI (ver 4.2.1a)); c) procedimentos e controles que apoiam o SGSI; d) uma descrição da metodologia de análise/avaliação de riscos (ver 4.2.1c)); e) o relatório de análise/avaliação de riscos (ver 4.2.1c) a 4.2.1g)); f) o plano de tratamento de riscos (ver 4.2.2b)); g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles (ver 4.2.3c)); h) registros requeridos por esta Norma (ver 4.3.3); e i) a Declaração de Aplicabilidade.
Portanto a questão está errada, porque a questão não fala em identificação dos colaboradores da empresa.
30) (CESPE - 2011 - PREVIC - Analista de Tecnologia da Informação) A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).
Essa questão é repetida, mas vale a pena decorar ela.
LhugoJr Página 13
No item 4.2.3 Monitorar e analisar criticamente o SGSI:
A organização deve:
a) Executar procedimentos de monitoração e análise crítica e outros controles para:
1) prontamente detectar erros nos resultados de processamento; 2) prontamente identificar tentativas e violações de segurança bem-sucedidas, e incidentes de segurança da informação; 3) permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado; 4) ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores; e 5) determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes.
Portanto questão correta.
31) (CESPE - 2010 - TRT - 21ª Região (RN) - Analista Judiciário - Tecnologia da Informação) A fim de proteger a integridade do hardware e da informação, devem ser implantados, em locais apropriados, controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.
Na 27001, no anexo, podemos encontrar:
A.10.4 Proteção contra códigos maliciosos e códigos móveis
Objetivo: Proteger a integridade do software e da informação. A.10.4.1
Controle contra códigos maliciosos
Controle
Devem ser implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.
A questão trocou software por hardware, portanto questão errada.
32) (CESPE - 2010 - Banco da Amazônia - Técnico Científico - Tecnologia da Informação - Segurança da Informação) Análises críticas devem ser executadas em níveis de profundidade distintos e se apóiam nas análises de riscos anteriormente realizadas. As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados.
Nesta questão vamos usar o comentário de dois usuários do QC.
Marco Aurélio Americo de Azevedo Avaliação da Probabilidade: Convém levar em conta a frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades podem ser exploradas, considerando dados como a experiência passada, estatística, motivação e competência de ameaças intencionais, fatores geográficos de ameaças acidentais, vulnerabilidades e os controles existentes e sua eficácia. Leonardo Marcelino Teixeira
Análises críticas devem ser executadas em níveis de profundidade distintos OK, como há níveis diversos de complexidade, é correto que haja níveis de profundidade distintos.
e se apóiam nas análises de riscos anteriormente realizadas. OK, apesar de considerar auditorias, incidentes e métricas, a base para todo o SGSI é a análise/avaliação de riscos.
As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados. OK, conforme excelente comentário do Marco Aurélio.
LhugoJr Página 14
Portanto a questão está correta.
33) (CESPE - 2009 - INMETRO - Analista Executivo em Metrologia e Qualidade - Desenvolvimento de Sistemas - Parte II) A análise crítica e periódica da política de segurança da informação de uma organização, conforme preconizada pelas normas NBR ISO/IEC 27001 e NBR ISO/IEC 17799, deve ser uma ação de responsabilidade dos gestores de segurança dessa organização.
Essa questão podemos responder pelo item 7 Análise crítica do SGSI pela direção:
A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3).
Portanto a questão está errada.
1.2 Outras bancas
34) (INSTITUTO CIDADES - 2012 - TCM-GO - Auditor de Controle Externo - Informática) De acordo com a ISO27001, norma que define os requisitos de um sistema de gestão de segurança da informação, não faz parte do processo de identificação dos riscos:
a) Estimar os níveis de riscos;
b) Identificar os impactos que perdas de confidencialidade integridade e disponibilidade podem causar aos ativos;
c) Identificar as ameaças para esses ativos;
d) Identificar as vulnerabilidades que poderiam ser exploradas pelas ameaças;
e) Identificar os ativos dentro do escopo do SGSI, e os proprietários destes ativos.
No item 4.2.1 Estabelecer o SGSI, temos:
(...) d) Identificar os riscos.
1) Identificar os ativos dentro do escopo do SGSI e os proprietários2) destes ativos. 2) Identificar as ameaças a esses ativos. 3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças. 4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.
e) Analisar e avaliar os riscos. 1) Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando em consideração as conseqüências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos. 2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados. 3) Estimar os níveis de riscos. 4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação de riscos estabelecidos em 4.2.1c)2).
Sendo assim, o gabarito da questão é letra A.
