Questões de concursos sobre "Norma ISO 27001" | Segurança da Informação - página 5

Na implementação do SGSI, as atividades do fluxo apresentado na figura desenvolvem-se de forma estritamente sequencial.

A implementação da política de segurança da organização inicia- se, no modelo apresentado, durante a fase Do.

A implementação de programas de conscientização e treinamento de segurança ocorre durante a fase Check.

Vários aspectos relativos à gestão de riscos de segurança são definidos durante a fase Plan, especialmente: escolha da metodologia específica de análise e avaliação de riscos da organização; identificação de ativos, ameaças, vulnerabilidades e controles em uso; avaliação de opções para tratamento de riscos; e preparação de uma lista de decisões relativas ao tratamento de riscos.

Uma equipe de resposta a incidentes tipicamente atua durante a fase Act.

A norma 27005 propõe uma metodologia completa para a gestão de riscos de segurança introduzida na norma 27001.

A norma 27002 é composta por 11 seções paralelas às seções presentes na norma 27001.

A proteção de ferramentas de auditoria é um controle cuja prática é descrita na seção sobre conformidade da norma 27002.

Entre as práticas recomendadas para a organização da segurança da informação prescritas pela norma 27002, estão: montagem de uma equipe de tratamento de incidentes, montagem de uma equipe de gestão de riscos, e montagem de uma equipe de auditoria.

Entre as fontes de requisitos de segurança da informação prescritas na norma 27002 e usadas como entrada para o SGSI proposto na norma 27001, encontram-se as seguintes: ferramentas de segurança existentes no mercado, resultados de testes de penetração efetuados na organização, e planejamento estratégico organizacional.

I, apenas.

II, apenas.

III, apenas.

I e II, apenas.

I, II e III.

I, apenas.

II, apenas.

I e II, apenas.

II e III, apenas.

I, II e III.

I, apenas.

II, apenas.

I e II, apenas.

II e III, apenas.

I, II e III.

A criptografia aumenta a confidencialidade, especialmente quando usada a assinatura digital.

Ativos de informação apresentam uma ou mais vulnerabilidades, as quais são transferidas para outras partes por meio da adoção de controles de segurança, no sentido especificado pela norma 27001.

Identificação, autenticação e autorização são mecanismos empregados em sistemas de controle de acesso que adotam modelos discricionários, bem como nos que empregam modelo mandatório e mesmo os embasados em papéis.

Qualquer ataque apresenta como consequência alguma perda da disponibilidade da informação, sobretudo um ataque do tipo negação de serviço.

A retenção de um risco de uma organização reduz o nível de risco, bem como a transferência de um risco elimina esse risco que era anteriormente associado à organização.

especifica uma série de recomendações que, em seu conjunto, não chegam a constituir um completo sistema de gerenciamento de segurança da informação.

sua adoção, por si só, não é suficiente para permitir a auditoria independente do sistema de gerenciamento de segurança da informação.

descreve as técnicas de segurança da informação sob a forma de uma série de recomendações.

sua adoção permite a certificação independente do sistema de gerenciamento de segurança da informação.

seu escopo limita-se aos aspectos tecnológicos do manuseio e segurança da informação, não abrangendo aspectos que dizem respeito ao gerenciamento de recursos humanos.

Risco é qualquer circunstância ou evento com o potencial intencional ou acidental de explorar uma vulnerabilidade específica, resultando na perda de confidencialidade, integridade ou disponibilidade.

Durante a análise de riscos, um especialista faz uso sistemático da informação para identificar as fontes (ameaças e vulnerabilidades) e estimar o risco (determinação de probabilidades e análise de impactos). Na avaliação de riscos, somente atos intencionais que podem produzir violações de segurança são analisados.

O ataque smurf é classificado como um ataque passivo, uma vez que este é caracterizado pelo envio de pacotes ICMP falsificados com o objetivo de identificar vulnerabilidades na rede, tais como portas TCP abertas.

Os perigosos ataques de negação de serviço (Denial of Service - DoS) visam violar duas propriedades de segurança - a disponibilidade e a confidencialidade. Ataques por inundação (flooding), por reflexão e ataques que exploram vulnerabilidades específicas, como os worms, são exemplos de ataques DoS.

O gerenciamento de riscos baseia-se em princípios e boas práticas de gerenciamento e segurança para auxiliar na tomada de decisões estratégicas. Dentre as boas práticas, destaca-se a norma ISO 27001 que define o modelo PDCA (Plan-Do-Check-Act), um procedimento cíclico para gestão da segurança da informação

Todos os controles que constam da norma devem ser implementados.

A implementação dos controles permite garantir a segurança da informação.

Os controles referentes à segurança de redes não são detalhados.

A norma 27001 define os controles que devem ser implementados.

A norma 27002 define os requisitos de um sistema de gestão de segurança da informação.

Na norma NBR ISO/IEC 27001, especificam-se requisitos para o estabelecimento, a implementação, a operação, a monitoração, a análise crítica, a manutenção e a melhoria de um SGSI. Em razão de serem bem específicos, esses requisitos são aplicáveis somente a alguns tipos de organizações.

Segundo a norma NBR ISO/IEC 27001, a organização deve identificar e gerenciar os processos envolvidos em um SGSI, bem como reconhecer suas interações.

Para estruturar todos os processos envolvidos em um SGSI, estabelece-se, na norma NBR ISO/IEC 2700, a adoção do ciclo PERT (program evaluation and review technique), ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas.

Segundo a NBR ISO/IEC 27002, os ativos da organização devem ser mantidos e protegidos, sendo necessários, primeiramente, o seu levantamento e a sua identificação com base em informações fornecidas pelos proprietários, também devidamente identificados e designados, de modo que um inventário de ativos possa ser estruturado e, posteriormente, descartado.

De acordo com a NBR ISO/IEC 27002, as informações e os ativos da organização não precisam ser classificados, necessariamente, conforme o nível de proteção recomendado para cada um deles, nem o tratamento desses dados deve seguir regras documentadas, que definem os usos permitidos desses ativos.