Questão sobre Norma 27005 - Segurança da Informação

Question 1

Considere que a equipe composta por quatro analistas de sistemas
de um órgão do judiciário federal brasileiro deva desenvolver
um plano de implantação da gerência de riscos de segurança da
informação nesse órgão. Acerca das atividades que podem ser
realizadas pela equipe, e considerando os conceitos de gerência de
riscos, de classificação e controle dos ativos de informação, e a
norma ISO/IEC 27005, é correto afirmar que essa equipe

Accepted Answer

deve produzir ou obter a lista de processos de negócios aos quais estarão vinculados os demais ativos de informação a serem identificados na atividade de identificação de riscos.

Answer

deve particionar entre os quatro membros a responsabilidade pelo desempenho dos seguintes papéis, entre outros: identificação e análise das partes interessadas, estabelecimento de ligações com as funções de gerência de riscos de alto nível, especificação dos critérios para a avaliação dos riscos, estimativa de impactos e aceitação do risco para a organização.

Answer

deve aplicar uma metodologia de análise quantitativa de riscos, excluindo a aplicação de uma metodologia qualitativa.

Answer

deve implantar o sistema de gestão de segurança da informação, antes de desenvolver o plano de gestão de riscos.

Answer

deve particionar entre seus quatro membros a responsabilidade da execução simultânea das seguintes atividades: definição do escopo, identificação dos riscos, tratamento dos riscos e comunicação do risco.

Question 2

A equipe de analistas de segurança da informação de um
órgão do judiciário federal participou de uma atividade de
capacitação conduzida por uma empresa de consultoria em controle
de acessos, tendo sido submetida a uma avaliação preliminar de
seus conhecimentos sobre esse tema. A avaliação baseou-se em
debate mediado pelos membros da consultoria, durante o qual os
membros da equipe de segurança discutiram com os usuários de TI
um conjunto de afirmações acerca da melhor forma de aprimorar o
controle de acessos no órgão. Várias ponderações conduzidas pelos
consultores eram deliberadamente errôneas, e algumas, verdadeiras.
A equipe de analistas de segurança e os usuários de TI deveriam
identificar as ponderações erradas e as verdadeiras.Considerando que as opções a seguir apresentam ponderações dos
consultores, assinale a opção que apresenta ponderação correta,
com base nos conceitos do controle de acessos e nas normas da
ISO/IEC 27001, 27002 e 27005.

Accepted Answer

Para que os controles de acessos físico e lógico sejam implementados de forma consistente em diferentes sistemas e redes do órgão, é recomendada a prévia classificação, quanto à segurança necessária, dos ativos de informação a eles relacionados.

Answer

A segregação de regras de controle de acessos no órgão é fundamentada na ideia de que o atendimento a pedidos de acesso, a autorização dos acessos propriamente ditos e a administração dos acessos são realizados por uma mesma pessoa no órgão.

Answer

A abordagem e o desenho dos controles de acesso físico e lógico no órgão deve ser feita de forma independente.

Answer

A autenticação baseada em três fatores é válida unicamente para sistemas de controle de acesso lógico, e não para sistemas de controle de acesso físico.

Answer

Em aderência aos controles previstos pela norma ISO/IEC 27001, faz-se necessário utilizar a autenticação baseada em dois fatores, tanto no acesso de origem externa à rede quanto no acesso de qualquer usuário ao sistema operacional, desde que esses ativos estejam incluídos em um escopo de implantação de um sistema de gestão da segurança da informação.

Question 3

De acordo com a norma NBR ISO/IEC 27005, a etapa em que se
identifica qualquer mecanismo administrativo, físico ou operacional
capaz de tratar os riscos da ocorrência de um incidente de segurança
é a identificação

Accepted Answer

dos controles existentes.

Answer

das ameaças.

Answer

das vulnerabilidades.

Answer

das consequências.

Answer

dos ativos.

Question 4

Quanto ao tratamento de riscos, conforme a norma
NBR ISO/IEC 27005, assinale a opção correta.

Accepted Answer

A escolha de controles para reduzir os riscos a um nível aceitável pela organização deve considerar os seus critérios para a aceitação do risco, a exemplo dos requisitos legais, culturais e ambientais.

Answer

A remoção da fonte do risco é forma de tratamento do risco conhecida como modificação do risco.

Answer

Os riscos residuais são aqueles classificados como impossíveis de ser tratados.

Answer

A retenção do risco consiste na ação de implementar controles que busquem reduzir os riscos a um nível aceitável pela organização.

Answer

O compartilhamento do risco envolve transferência ou compartilhamento do risco com entidades internas da organização com vistas a balancear os prejuízos entre as unidades na ocorrência de perdas advindas de um incidente.

Question 5

De acordo com a ABNT NBR ISO/IEC 27002 de 2005 é
essencial que uma organização identifique os seus
requisitos de segurança da informação. Com relação a
este assunto são realizadas as seguintes afirmações: I. Uma fonte de requisitos de segurança da informação
é a legislação vigente, os estatutos, a
regulamentação e a cláusulas contratuais que a
organização, seus parceiros comerciais, contratados
e provedores de serviço têm que atender, além do
seu ambiente sociocultural.
II. Uma vez que os requisitos de segurança da
informação, os riscos tenham sido identificados e as
decisões para o tratamento dos riscos tenham sido
tomadas, convém que controles apropriados sejam
selecionados e implementados para assegurar que
os riscos sejam eliminados. Não é aceitável a simples
redução a níveis aceitáveis.III. A análise/avaliação de riscos deve ser realizada na
implantação do SGI e, posteriormente,
semestralmente, independente de quaisquer
mudanças que possam influenciar os resultados
desta análise/avaliação.
IV. Uma possível opção para o tratamento do risco inclui
transferir os riscos associados para outras partes, por
exemplo, seguradoras ou fornecedores.
Em relação a estas afirmações, assinale a alternativa
correta:

Accepted Answer

Somente as afirmações I e IV estão corretas.

Answer

Somente as afirmações I e III estão corretas.

Answer

Somente as afirmações I, II e III estão corretas.

Answer

Somente as afirmações II e III estão corretas.

Answer

Somente as afirmações III e IV estão corretas.

Question 6

Considere que o Tribunal Regional do Trabalho esteja seguindo orientações da norma ABNT NBR ISO/IEC 27005:2011, que
fornece diretrizes para o processo de gestão de riscos de segurança da informação. Seguindo esta norma, a implantação do
processo de gestão de riscos deve passar pelas etapas: definição do contexto, processo de avaliação de riscos, tratamento do
risco,

Accepted Answer

aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos.

Answer

análise de impacto do risco, monitoramento do risco e comunicação do risco.

Answer

mitigação do impacto do risco e análise crítica sobre o risco.

Answer

análise de impacto do risco, comunicação do risco e definição de ações de contenção do risco.

Answer

tomada de decisão sobre o risco, divulgação do risco na organização e monitoramento e controle de riscos.

Question 7

No processo de tratamento do risco de segurança da informação, segundo a norma ABNT NBR ISO/IEC 27005:2011,

Accepted Answer

o nível de risco pode ser gerenciado através da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.

Answer

compartilha-se a responsabilidade de gerenciar riscos e também a responsabilidade legal por um impacto.

Answer

se o risco atender aos critérios legais para a aceitação do risco, devem ser implementados controles adicionais para que o risco possa ser aceito.

Answer

riscos considerados de impacto mediano ou alto, mesmo que os custos do tratamento não excedam os benefícios, devem ser evitados completamente.

Answer

determinar se o risco residual está ou não abaixo ou acima de um limite bem definido deve ser o único critério para aceitar ou não o risco.

Question 8

O processo de gestão de risco, de acordo com a NBR
ISO/IEC 27005, inicia-se com o(a)

Accepted Answer

definição do contexto.

Answer

identificação de riscos.

Answer

avaliação de riscos.

Answer

tratamento do risco.

Answer

monitoração dos riscos.

Question 9

De acordo com a Norma ABNT NBR ISO/IEC 27005, assinale a opção correta a respeito da gestão de risco de TI.

Accepted Answer

A etapa de tratamento de risco conta com as seguintes opções, não excludentes entre si: redução, retenção, evitação e transferência de risco.

Answer

Na etapa de definição do contexto, a organização busca atingir seus objetivos; nela, são determinados os valores dos ativos da organização, identificadas as ameaças e vulnerabilidades existentes e determinadas as potenciais consequências dessas ameaças e vulnerabilidades.

Answer

A presença de uma vulnerabilidade é sempre uma ameaça à segurança da informação. A identificação das vulnerabilidades é realizada na etapa de análise/avaliação de riscos.

Answer

Na etapa de aceitação de risco, lida-se com modelos predefinidos de escalas de níveis, dentre os quais a organização deve optar pelo mais adequado aos seus negócios.

Answer

Na etapa de monitoramento de riscos, recomenda-se que as vulnerabilidades e os riscos sejam reavaliados periodicamente, entre um mês e um semestre.

Questões de concursos sobre "Norma 27005" | Segurança da Informação - página 7

Q16357 - CESPE Analista Judiciário - Análise de Sistemas 2016

Q16358 - CESPE Analista Judiciário - Análise de Sistemas 2016

Q16407 - CESPE Analista Judiciário - Tecnologia da Informação 2016

Q16409 - CESPE Analista Judiciário - Tecnologia da Informação 2016

Q16977 - IESES Técnico de Processos Tecnológicos - Tecnologia da Informação - Sistemas 2016

Q17012 - FCC Técnico Judiciário - Tecnologia da Informação 2016

Q17013 - FCC Técnico Judiciário - Tecnologia da Informação 2016

Q17092 - CESPE Técnico Judiciário – Operação de Computadores 2017

Q17096 - CESPE Técnico Judiciário – Programação de Sistemas 2017