2012

Questes Comentadas ISO ISO 270022 27002

Lhugojr Verso 1.0 09/12/2012

TECNOLOGIA DA INFORMAO - QUESTES COMENTADAS CESPE/UNB http://www.dominandoti.com.br/livros

Introdua oVale ressaltar que alguns comenta rios sobre as questo es foram retiradas das seguintes fontes:
Provas de TI www.provasdeti.com.br Tambm foram usadas outras fontes, como livros, comentrios do site Questes de Concursos, etc.

TI SEGURANA DA INFORMAO PARA CONCURSOS NVEL AVANADO - http://socratesfilho.com/cursosteorico/seguranca-da-informacao-para-concursos/

Os comentrios so sempre feitos colocando as fontes encontradas, algumas questes so mais difceis de encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros. Espero que ajude. Abraos.

Notas da Versa o

Essa a verso 1.0, sendo a maioria das questes da banca CESPE, com o tempo espero acrescentar muito mais questes. Caso encontre algum erro nesta verso pode mandar um e-mail para lhugojr@hotmail.com, colocando o nmero da questo e o erro encontrado. Voc tambm pode ajudar a melhorar os comentrios, alguns comentrios podem estar com o nvel fraco, isso ocorre quando no so encontradas fontes que tratam sobre o tema da questo. Caso voc encontre alguma fonte ou queira melhorar o comentrio mande um e-mail.

1 ISO 17799 / ISO 27002

1.1 CESPE/UNB
(CESPE - TCU 2007 Analista de Controle Externo Auditoria em TI)
1) A NBR 17799 prescreve o uso de gerenciamento quantitativo de riscos. A NBR 17799 prescreve o uso de gerenciamento de riscos, mas no prescreve ele da forma quantitativa, como existe no PMBOK. Portanto o tem est errado. 2) A NBR 17799 prescreve vrios atributos de classificao da informao, entre os quais se encontram os que indicam graus de sensibilidade e criticidade. O grau de sensibilidade de um ativo de informao est mais associado a aspectos de privacidade que o grau de criticidade, este mais relacionado a aspectos negociais. O item 7.2 Classificao da informao (7 Gesto de ativos) fala:
Objetivo: Assegurar que a informao receba um nvel adequado de proteo. Convm que a informao seja classificada para indicar a necessidade, prioridades e o nvel esperado de proteo quando do tratamento da informao. A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel adicional de proteo ou tratamento especial. Convm que um sistema de classificao da informao seja usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas especiais de tratamento.

A questo est correta. Portanto temos:

3) A NBR 17799 prescreve explicitamente que as instalaes de processamento da informao gerenciadas por uma organizao devem estar fisicamente separadas daquelas que so gerenciadas por terceiros. Esse controle est descrito no captulo 9 da referida NBR, juntamente com outros relacionados a ameaas externas como exploses e perturbaes sociais, e controle de acesso com mltiplos fatores de autenticao, como senhas, smart cards e biometria. A NBR no faz prescries, que so impositivas, mas recomendaes, que a organizao segue se quiser. Ou seja a norma NO OBRIGA, somente recomenda. De novo a ISO 27002 NO OBRIGA, NO faz imposies.

(CESPE - TCU 2007 Analista de Controle Externo Tecnologia da Informao)

4) A seleo de controles de segurana da informao a implantar dever ser fundamentada principalmente na identificao das ameaas aos ativos organizacionais. Para cada ameaa mapeada, devero ser identificados os controles de segurana aplicveis. Segundo a norma no item 0.6 Ponto de partida para a segurana da informao:
Convm observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevncia de qualquer controle deve ser determinada segundo os riscos especficos a que uma organizao est exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a seleo de controles, baseado na anlise/avaliao de riscos.

A norma ainda fala no item 4.2 Tratando os riscos de segurana da informao:

Portanto o item est errado a seleo de controles de segurana da informao dever ser fundamentada principalmente na avaliao dos riscos envolvendo ameaas aos ativos organizacionais.
Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento do risco precisa ser tomada. Possveis opes para o tratamento do risco, incluem: a) ... aplicar controles apropriados para reduzir os riscos;

5) A organizao dever estabelecer um programa avanado de treinamento tcnico em segurana da informao para todos os seus empregados relacionados com a prestao de atividades-fim relacionadas ao seu negcio. No item 8.2.2 Conscientizao, educao e treinamento em segurana (8 Segurana em recursos humanos):
Convm que todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais, relevantes para as suas funes.

A norma nada fala em treinamento avanado para todos os seus empregados. Portanto o item est errado. 6) Todo evento de segurana da informao identificado no mbito da organizao corresponder a uma ou mais violaes da poltica de segurana da informao da organizao. Segundo a norma: Evento de Segurana da informao - ocorrncia identificada de um sistema, servio ou rede, que indica uma
possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao.

Sendo assim nem TODO evento de SI identificado corresponde a uma ou mais violaes. Item errado. Tambm vale lembrar o conceito de Incidente de segurana da informao: um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao.

7) Os riscos de segurana da informao identificados no mbito da organizao devero ser analisados quanto s possveis opes de tratamento: mitigao ou reduo; aceitao; eliminao ou contorno; e transferncia. Entre as quatro alternativas de tratamento, a que apresenta maior demanda por implantao de controles a mitigao ou reduo. Os riscos aceitos so os de menor nvel ou que atendam a critrios de avaliao previamente definido. No item 4.2 Tratando os riscos de segurana da informao (4 Anlise/avaliao e tratamento de riscos):
Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento do risco precisa ser tomada. Possveis opes para o tratamento do risco, incluem: a) aplicar controles apropriados para reduzir os riscos; b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da organizao e aos critrios para a aceitao de risco; c) evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos; d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

O item est correto. 8) A ISO 17799 define diretrizes para certificao de que uma organizao est em conformidade prpria norma. Essa certificao conferida por meio de uma auditoria de terceira parte, nos moldes da ISO 19011. A ISO 27002, antiga 17799, no para certificao, somente a ISO 27001 para certificao das empresas. 9) Conforme a ISO 17799, obrigatrio o relatrio de incidentes de segurana ao ponto de contato designado. Assim, um funcionrio de uma organizao que realiza operaes de alto risco e identifica uma violao de acesso, porm encontra-se sob coao, poder utilizar-se de um mtodo secreto para indicar esse evento de segurana. Esse mtodo conhecido como alarme de coao. Mais uma vez, a ISO 27002 no define nada como obrigatrio. Ela no impositiva. Ela somente faz SUGESTES. De novo a ISO 27002 no obriga. 10) Tendo em vista o ambiente de TI implantado em uma entidade, faz-se necessrio que essa entidade disponha de critrios de aceitao para novos sistemas. No item 10.3.2 Aceitao de Sistemas (10 Gerenciamento das operaes):
Convm que sejam estabelecidos critrios de aceitao para novos sistemas, atualizaes e novas verses, e que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitao.

O item portanto est correto. 11) Os recursos e os ambientes de desenvolvimento, teste e produo devem interagir permanentemente para a obteno da compatibilidade e da harmonia pretendida. No item 12.5.1 Procedimentos para controle de mudanas (12 Aquisio desenvolvimento e manuteno):
A mudana de software pode ter impacto no ambiente operacional. As boas prticas incluem o teste de novos softwares em um ambiente segregado dos ambientes de produo e de desenvolvimento (ver 10.1.4). Isto fornece um meio de controle sobre o novo software e permite uma proteo adicional informao operacional que utilizada para propsitos de teste. Aplica-se tambm s correes, pacotes de servio e outras atualizaes. Convm que atualizaes automticas no sejam utilizadas em sistemas crticos, pois algumas atualizaes podem causar falhas em aplicaes critica

Portanto o item est correto.

(CESPE SERPRO 2008 Analista de Sistemas - Desenvolvimento)

12) A norma ISO/IEC 17799 est voltada criao de um Sistema de Gesto da Segurana da Informao mas seu contedo no mais vlido, pois foi substituda recentemente pela nova norma 27002. A ISO 27002 define no item 1 Objetivo:
Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao.

J a ISO 27001 define no item 1 Objetivo:

Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos comerciais, agncias governamentais, organizaes sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao. Ela especifica requisitos para a implementao de controles de segurana personalizados para as necessidades individuais de organizaes ou suas partes.

Portanto o item est incorreto. Porque a 27001 que voltada para o SGSI. A segundo parte tambm est errada., a 17799 ainda valida, s houve uma troca de numerao.

(CESPE ANTAQ 2009 Analista Administrativo Informtica - ADAPTADA)

13) So exemplos de controles administrativos: as polticas de segurana, os procedimentos de classificao da informao e a identificao e autenticao de sistemas. As polticas de segurana no so um controle administrativo. Ela define como as regras para a implementao dos tipos de controle sobre os dados e os ativos da companhia, inclusive os controles administrativos. Portanto item errado. Segundo a 27002, poltica a intenes e diretrizes globais formalmente expressas pela direo. 14) A anlise de vulnerabilidades, quando realizada no arcabouo de uma atividade de anlise de riscos, precedida, usualmente, da anlise de ameaas, mas antecede a anlise de controles, podendo cada controle inexistente ser traduzido em uma vulnerabilidade existente. Essa questo um pouco polemica, porm se cair de novo em prova deve ser assinalado correto. Portanto temos: [1 Anlise de ameaas] -> [2 Anlise de vulnerabilidades] -> [3 Anlise de controles] CONTROLE INEXISTENTE --> VULNERABILIDADE EXISTENTE 15) Se determinada parte de um ativo de informao classificada como confidencial, possvel que o grau de sigilo atribudo a esse ativo seja secreto ou ultrassecreto, no devendo o ativo ser classificado como reservado. Essa questo no trata especificamente da 27002, e sim do decreto 4.553/2002. Apelando para o comentrio do professor Gleyson Azevedo:

O governo federal brasileiro adota uma classificao de informaes regulada pelo Decreto n 4.553, de 27 de dezembro de 2002. Nessa norma, a informao assim classificada de acordo com o grau de sigilo (da mais para a menos sigilosa): ultrassecreta dados ou informaes referentes soberania e integridade territorial nacionais, a planos e operaes militares, s relaes internacionais do Pas, a projetos de pesquisa e desenvolvimento cientfico e tecnolgico de interesse da defesa nacional e a programas econmicos, cujo conhecimento no-autorizado possa acarretar dano excepcionalmente grave segurana da sociedade e do Estado; secreta dados ou informaes referentes a sistemas, instalaes, programas, projetos, planos ou operaes de interesse da defesa nacional, a assuntos diplomticos e de inteligncia e a planos ou detalhes, programas ou instalaes estratgicos, cujo conhecimento no- autorizado possa acarretar dano grave segurana da sociedade e do Estado. confidencial dados ou informaes que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja revelao no-autorizada possa frustrar seus objetivos ou acarretar dano segurana da sociedade e do Estado. reservada dados ou informaes cuja revelao no-autorizada possa comprometer planos, operaes ou objetivos neles previstos ou referidos.
Vamos ao que interessa ento. regra geral que se um sistema contm dados que deveriam ser classificados em nveis diferentes, ele deve ser classificado com o nvel referente ao dado mais confidencial. Doravente, chamarei isso de princpio do maior sigilo. Separando a questo em duas partes, temos: 1. Se determinada parte de um ativo de informao classificada como confidencial, possvel que o grau de sigilo atribudo a esse ativo seja secreto ou ultrassecreto. Se uma determinada mdia, como um cd, possui diversos arquivos confidenciais, mas somente um secreto ou ultrassecreto, a classificao da mdia ser sempre a de maior grau de sigilo, ou seja, secreta ou ultrassecreta. Logo, essa afirmao est CERTA. 2. (...) no devendo o ativo ser classificado como reservado. Se uma mdia possusse um arquivo confidencial e vrios arquivos reservados, a sua classificao, pelo princpio de maior sigilo, deveria ser confidencial e nunca reservada, o que atentaria contra o referido princpio. Portanto, a afirmao est CERTA tambm. Logo, o item est CERTO.

Devemos ento levar em considerao o princpio do maior sigilo.

(CESPE TCU 2009 Auditor Federal de Controle Externo Tecnologia da Informao)

A lista abaixo apresenta os ttulos das sees da norma ABNT NBR ISO/IEC 27002 (17799), que contm um guia das melhores prticas em gesto da segurana da informao. Tais sees possuem correspondente registro no anexo A da norma ABNT NBR ISO/IEC 27001, definindo grupos de objetivos de controles e controles de segurana que podem ser implementados. 5 Poltica de Segurana

6 Organizando a Segurana da Informao 7 Gesto de Ativos 8 Segurana em Recursos Humanos 9 Segurana Fsica e do Ambiente 10 Gerenciamento das Operaes e Comunicaes 11 Controle de Acessos 12 Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao 13 Gesto de Incidentes de Segurana da Informao 14 Gesto da Continuidade do Negcio 15 Conformidade Nos itens de 177 a 180, julgue as propostas de associao entre conceitos ou prticas de segurana e as sees da norma ABNT NBR ISO/IEC 27002. 16) O emprego de um ambiente computacional dedicado isolado, bem como a blindagem eletromagntica e o levantamento dos ativos envolvidos em processos crticos so abordagens diretamente associadas ao Controle de Acessos, Segurana Fsica e do Ambiente e Gesto da Continuidade do Negcio, respectivamente. Na 27002 temos:
11 Controle de acesso (...) 11.6.2 Isolamento de sistemas sensveis Controle Convm que sistemas sensveis tenham um ambiente computacional dedicado (isolado). 9 Segurana fsica e do ambiente (...) 9.2.3 Segurana do cabeamento (...)

Diretrizes para implementaco Convm que sejam levadas em considerao as seguintes diretrizes para a segurana do cabeamento:
(...)

4) utilizao de blindagem eletromagntica para a proteo dos cabos; (...)

14 Gesto da continuidade do negcio (...) 14.1.1 Incluindo segurana da informao no processo de gesto da continuidade de negcio (...)

b) identificao de todos os ativos envolvidos em processos crticos de negcio (ver 7.1.1 );

Portanto o item est correto. 17) A configurao de protees de tela bloqueadas por senha e o uso de firewalls e sistemas de deteco de intrusos so aes apenas indiretamente ligadas gesto de Incidentes de Segurana da Informao e Conformidade, respectivamente. No foi achado nenhuma biografia sobre esta questo, mas se cair de novo deve ser considerado certo. J que o gabarito final foi este.

18) A proteo de registros organizacionais, entre eles o registro de visitantes, constitui uma prtica diretamente associada Segurana Fsica e do Ambiente, embora, no caso especfico do registro de visitantes, esteja prescrita visando o alcance da Segurana em Recursos Humanos. No item 9.1.2 Controle de entrada fsica (9 Segurana fsica):
(...) Diretrizes para imolementaco Convm que sejam levadas em considerao as seguintes diretrizes: a) a data e hora da entrada e salda de visitantes sejam registradas, e todos os visitantes sejam supervisionados, a no ser que o seu acesso tenha sido previamente aprovado; convm que as permisses de acesso sejam concedidas somente para finalidades especficas e autorizadas, e sejam emitidas com instrues sobre os requisitos de segurana da rea e os procedimentos de emergncia; (...)

Portanto a questo est correta.

(CESPE TRE/PR 2009 Analista Judicirio Especialidade: Anlise de Sistemas)

19) Os gastos com os controles no necessitam ser balanceados de acordo com o negcio. Temos no item 0.4 Analisando/avaliando os riscos de segurana da informao:
Os requisitos de segurana da informao so identificados por meio de uma anlise/avaliao sistemtica dos riscos de segurana da informao. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciais falhas na segurana da informao.

Portando o item est correto.

(CESPE Banco da Amaznia - 2010 Tcnico Cientfico Especialidade: Tecnologia da Informao Redes e Telecomunicaes)
20) A poltica de segurana cumpre trs principais funes: define o que e mostra por que se deve proteger; atribui responsabilidades pela proteo; e serve de base para interpretar situaes e resolver conflitos que venham a surgir no futuro. No foi encontrada nenhuma bibliografia sobre o assunto. O gabarito correto. Portanto vale lembrar desta questo. Funes da PSI: Define o que e mostra por que se deve proteger; atribui responsabilidades pela proteo; serve de base para interpretar situaes e resolver conflitos que venham a surgir no futuro.

(CESPE Banco da Amaznia - 2010 Tcnico Cientfico Especialidade: Tecnologia da Informao Segurana da Informao)
21) Um incidente de segurana da informao refere-se a um ou mais riscos no desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informao e ameaam a segurana da informao.

Segundo a norma no item 2 Termos e definies temos:

Incidente de segurana da informao - um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. Ameaa - causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao.

Portanto o item est errado. O termo referido na questo est se referindo a ameaa.

22) So exemplos de ativos de uma organizao a informao e os processos de apoio, sistemas e redes. Os requisitos de segurana, em uma organizao, so identificados por meio de anlise sistemtica dos riscos de segurana. No item 0.4 Analisando/avaliando os riscos de segurana da informao, temos:
Os requisitos de segurana da informao so identificados por meio de uma anlise/avaliao sistemtica dos riscos de segurana da informao. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciais falhas na segurana da informao.

Agora no item 0.2 Por que a segurana da informao necessria? Temos:

A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Definir, alcanar, manter e melhorar a segurana da informao podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao junto ao mercado.

Portanto a questo est correta. 23) Entre os ativos associados a sistemas de informao em uma organizao, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicao (roteadores, secretrias eletrnicas etc.). Segundo o professor Scrates Filho: Os ativos de uma organizao devem estar ligados aos negcios dela. Se os aplicativos e equipamentos no tiverem ligao com os negcios, eles no podem ser classificados como ativos associados aos sistemas de informao, como no caso das secretrias eletrnicas. Portanto a questo est errada. Agora falando da norma ela no item 7.1.1 Inventrio dos ativos (7 Gesto dos ativos), cita:
Existem vrios tipos de ativos, incluindo: a) ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e informaes armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis e outros equipamentos; d) servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade e refrigerao;

e) pessoas e suas qualificaes, habilidades e experincias; f) intangveis, tais como a reputao e a imagem da organizao.

24) Uma organizao deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importncias e indicar um proprietrio responsvel por eles. A informao deve ser classificada em termos de sua utilidade, adequabilidade e nvel de segurana. A norma 27002 fala no item 7.2.1 Recomendaes para classificao (7 Gesto de ativos):
Convm que a informao seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organizao.

Portanto a questo est incorreto. 25) conveniente que, na classificao das informaes e seu respectivo controle de proteo, consideremse as necessidades de compartilhamento ou restrio de informaes. Ao se tornar pblica, uma informao frequentemente deixa de ser sensvel ou crtica. Ainda no item 7.2.1 Recomendaes para classificao (7 Gesto de ativos):
A informao freqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo quando a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma classificao superestimada pode levar implementao de custos desnecessrios, resultando em despesas adicionais.

Portanto a questo est certa. 26) Recomenda-se que as responsabilidades de segurana sejam atribudas nas fases de seleo de pessoal, includas em acordos informais de trabalho e monitoradas durante a vigncia de cada contrato de trabalho. Esta questo est baseada no item 8 Segurana em recursos humanos.
Convm que as responsabilidades pela segurana da informao sejam atribudas antes da contratao, de forma adequada, nas descries de cargos e nos termos e condies de contratao. Convm que todos os funcionrios, fornecedores e terceiros, usurios dos recursos de processamento da informao, assinem acordos sobre seus papis e responsabilidades pela segurana da informao.

Portanto a questo est errado, j que a norma no fala nada em acordos INFORMAIS. 27) O documento da poltica de controle de acesso contm as polticas para autorizao e distribuio de controle de acesso. recomendvel a existncia de um procedimento formal de registro e cancelamento de usurio para obteno de acesso a todos os sistemas de informao e servios, com exceo dos sistemas multiusurios. Segundo o professor Scrates Filho: A poltica de controle de acesso no tem polticas de distribuio do controle de acesso, apenas as polticas para autorizao. Ainda na norma temos:
Convm que a poltica leve em considerao os seguintes itens: (...) c) poltica para disseminao e autorizao da informao, por exemplo, o princpio need to know e nveis de segurana e a classificao das informaes

(...)

Portanto a questo est errada. 28) Privilgio qualquer caracterstica ou facilidade de um sistema de informao multiusurio que permita ao usurio sobrepor controles do sistema ou aplicao. A concesso e uso de privilgios deve ser restrito e controlado, e sua utilizao inadequada considerada fator de vulnerabilidade de sistemas. A norma no item 11.2.2 Gerenciamento de privilgios (11 Controle de acesso):
Convm que a concesso e o uso de privilgios sejam restritos e controlados.

O item est correto. Ainda devemos aprender a noo de privilgio. Privilgio qualquer caracterstica ou facilidade de um sistema de informao multiusurio que permita ao usurio sobrepor controles do sistema ou aplicao. 29) As senhas fornecem um meio de validao da autoridade do usurio e o estabelecimento dos direitos de acesso para os recursos ou servios de leitura da informao. A norma fala que:
Senhas so um meio comum de verificar a identidade de um usurio antes que acessos sejam concedidos a um sistema de informao ou servio de acordo com a autorizao do usurio. Outras tecnologias para identificao de usurio e autenticao, como biomtrica, por exemplo, verificao de digitais, verificao de assinatura, e uso de tokens, por exemplo, e cartes inteligentes, esto disponveis, e convm que sejam consideradas, se apropriado.

O professor Scrates Filho, ainda cita: As senhas fazem apenas a validao ao acesso aos recursos ou servios de informao, mas o estabelecimento dos direitos de acesso feito pelas polticas de autenticao do acesso, por meio de perfis. Portanto o item est errado.

30) O controle de acesso rede busca assegurar o uso de interfaces apropriadas entre a rede da organizao e as redes de outras organizaes ou redes pblicas e controlar o acesso dos usurios aos servios de informao. Tambm busca utilizar mecanismos de autenticao apropriados para usurios e equipamentos. Quase o que est escrito no item 11.4 Controle de acesso rede (11 Controle de Acesso):
Objetivo: Prevenir acesso no autorizado aos servios de rede. Convm que o acesso aos servios de rede internos e externos seja controlado. Convm que os usurios com acesso s redes e aos servios de rede no comprometam a segurana desses servios, assegurando: a) uso de interfaces apropriadas entre a rede da organizao e as redes de outras organizaes e redes pblicas; b) uso de mecanismos de autenticao apropriados para os usurios e equipamentos; c) controle de acesso compulsrio de usurios aos servios de informao.

Sendo assim a questo est correta. 31) Conexes externas que utilizam mtodos dial-up devem ser validados conforme o nvel estabelecido por avaliaes de risco. Controles e procedimentos de discagem reversa, conhecidos por call forwarding, expem e fragilizam a organizao, uma vez que utilizam dispositivos roteadores com discagem reversa e

levam o usurio a manter a linha aberta com a pretenso de que a verificao da chamada reversa tenha ocorrido. No item 11.4.2 Autenticao para conexo externa do usurio, temos:
Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem reversa, podem prover proteo contra conexes no autorizadas e no desejadas nos recursos de processamento da informao de uma organizao. Este tipo de controle autentica usurios que tentam estabelecer conexes com a rede de uma organizaes de localidades remotas. Ao usar este controle, convm que uma organizao no use servios de rede que incluem transferncia de chamadas (forward} ou, se eles fizerem, convm que seja desabilitado o uso de tais facilidades para evitar exposio a fragilidades associadas ao call forward. Convm que o processo de discagem reversa assegure que uma desconexo atual no lado da organizao acontea. Caso contrrio, o usurio remoto poderia reter aberta a linha simulando que a verificao do retorno da chamada (cal/ back) ocorreu. Convm que os procedimentos e controles da discagem reversa sejam testados completamente para esta possibilidade.

A norma troca o termos de discagem reversa. Portanto o item est errado. 32) Os controles baseiam-se nos requisitos de segurana selecionados considerando-se as restries de implementao, sua eficcia em relao aos riscos que sero reduzidos e s perdas potenciais, caso as falhas na segurana ocorram. Pode-se, ainda, considerar fatores financeiros, como prejuzos reputao da organizao. Segundo o professor Scrates Filho: Normalmente, no se consideram as restries de implementao na seleo dos controles. Em regra, se consideram primeiro as perdas potenciais no caso de falhas e a eficcia dos controles em relao aos riscos que eles combatem. Portanto a questo est errada. Ento temos:

33) So exemplos de contedos que constam no documento de poltica da informao: conformidade com a legislao e clusulas contratuais, requisitos na educao de segurana, gesto da continuidade do negcio e regras para controle de acesso Na 27002 podemos encontrar:
Convm que o documento da poltica de segurana da informao declare o comprometimento da direo e estabelea o enfoque da organizao para gerenciar a segurana da informao. Convm que o documento da poltica contenha declaraes relativas a: a) uma definio de segurana da informao, suas metas globais, escopo e importncia da segurana da informao como um mecanismo que habilita o compartilhamento da informao (ver introduo); b) uma declarao do comprometimento da direo, apoiando as metas e principies da segurana da informao, alinhada com os objetivos e estratgias do negcio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de anlise/avaliao e gerenciamento de risco; d) breve explanao das polticas, principies, normas e requisitos de conformidade de segurana da informao especficos para a organizao, incluindo: 1) conformidade com a legislao e com requisitos regulamentares e contratuais;

2) requisitos de conscientizao, treinamento e educao em segurana da informao; 3) gesto da continuidade do negcio; 4) conseqncias das violaes na poltica de segurana da informao; e) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana da informao; f) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que os usurios devem seguir.

Portanto o item est errado, porque no tem controle de acesso. 34) Convm que a poltica de segurana da informao tenha um patrocinador responsvel por sua manuteno e anlise crtica e que esteja de acordo com um processo de submisso definido.
No item 5.1.2 Anlise crtica da poltica de segurana da informao, temos:
Convm que a poltica de segurana da informao tenha um gestor que tenha responsabilidade de gesto aprovada para desenvolvimento, anlise crftica e avaliao da polltica de segurana da informao. Convm que a anlise crtica inclua a avaliao de oportunidades para melhoria da politica de segurana da informao da organizao e tenha um enfoque para gerenciar a segurana da informao em resposta s mudanas ao ambiente organizacional, s circunstncias do negcio, s condies legais, ou ao ambiente tcnico.

Ainda podemos citar, o comentrio do professor Scrates Filho: O patrocinador da PSI, que geralmente a alta direo no , necessariamente, a responsvel pela sua manuteno e anlise crtica. Essa tarefa fica a cargo de um setor da organizao responsvel por isso. Entretanto, a PSI, aps a reviso, deve ser aprovada pela alta direo. Portanto a questo est errada. 35) Na reviso peridica da conformidade dos sistemas com as polticas e normas organizacionais de segurana, devem-se incluir sistemas de informao, provedores de sistemas, proprietrios da informao, ativos de informao, usurios e administrao.
No foi achado nenhuma bibliografia sobre este assunto, mas a questo est correta.

36) Controles de ambiente e software devem se corretamente implementados para que a validao da conformidade tcnica e cientfica assegure que os sistemas de informao sejam verificados em conformidade com as normas de segurana implementadas. Usando o comentrio do professor Scrates Filho: Nem sempre a implantao correta de um controle garante que as normas de segurana sejam seguidas, de acordo com a PSI. Portanto o item est errado.

37) recomendvel que a poltica de segurana determine medidas especficas a serem implementadas e a forma de implement-las. Usando o comentrio do professor Scrates Filho: A poltica de segurana s deve fazer um esboo das medidas a serem implementadas, sem indicar a forma como elas sero implementadas. Questo errada.

A PSI no detalhada e possui somente diretrizes gerais.

(CESPE EMBASA 2010 Analista de Tecnologia da Informao atuao em Banco de Dados)

38) Uma poltica de segurana da informao deve tratar dos aspectos humanos, culturais e tecnolgicos de uma organizao, considerando tambm os processos e os negcios, alm da legislao pertinente. Com base nessa poltica, as diversas normas e os vrios procedimentos devem ser criados. Essa definio uma boa definio sobre o que um PSI deve tratar. A resposta esta correta.

39) Entre os benefcios vinculados implantao de poltica de segurana da informao em uma organizao, esto a reduo na padronizao das informaes e processos, alm da garantia de se assegurar vantagens competitivas. Essa questo erra ao dizer que a implantao da PSI reduz. Sendo a verdade que a PSI AUMENTA na padronizao das informaes e processos. 40) Para a administrao de uma poltica de segurana da informao, devero ser realizadas anlises de vulnerabilidades, relatrios de incidentes, verificao e comprometimento do desempenho do sistema, bem como verificao do apoio da direo, pois com base nessas anlises que sero tomadas as medidas necessrias correo de falhas no sistema como um todo. Mas uma daquelas questes que servem para aprender. O item est correto.

(CESPE MPU 2010 Analista de Informtica - Banco de Dados)

41) O termo integridade no escopo da referida norma diz respeito salvaguarda da exatido e integridade das informaes e mtodos de processamento utilizados para a manipulao da informao. Esta questo nos iremos tratar um termo que est definido na 27001.
Integridade - propriedade de salvaguarda da exatido e completeza de ativos

Portanto a questo est correta. 42) A referida norma, bem como suas atualizaes correntes, apresenta um cdigo de boas prticas para a gesto de segurana da informao, portanto, adequada para usurios responsveis por iniciar, implementar, manter e melhorar sistemas de gesto de segurana da informao. Vamos colocar o objetivo que est previsto no item 1 Objetivo:
Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da

informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao.

A questo est correta. 43) No que diz respeito aos aspectos de preservao da confidencialidade, a norma em apreo estabelece prticas adequadas para garantir que a informao esteja acessvel a todas as pessoas interessadas em acess-la. Usando o comentrio do professor Scrates Filho: A norma estabelece prtica para garantir que a informao esteja acessvel apenas s pessoas que tenham permisso para acess-las. Um hacker tambm uma pessoa interessada em acess-la. Portanto o item est errado. 44) A seo da norma em questo que trata de compliance prev aspectos para assegurar a conformidade com polticas de segurana da informao, normas, leis e regulamentos. No item 15.1 Conformidade com requisitos legais (15 Conformidade), temos:
Objetivo: Evitar violaes de quaisquer obrigaes legais, estatutrias, regulamentares ou contratuais, e de quaisquer requisitos de segurana da informao.

Portanto a questo est correta. 45) A referida norma contm sees iniciais e doze sees principais acerca de diversos temas de segurana, como, por exemplo, a gesto de ativos. A estrutura da norma: 0 - Introduo 1 - Objetivo 2 - Termos e Definies 3 - Estrutura da Norma 4 - A/A e Tratamento de Riscos 5 - Politica de SI 6 - Organizando SI 7 - Gesto de Ativos 8 - Segurana em R 9 - Segurana Fisica e do Ambiente 10 - Gerenciamento das Operaes e Comunicaes 11 - Controle de Acesso 12 - Aquisio, Desenv. e Manuteno de SI 13 - Gesto de Incidentes 14 - Gesto da Continuidade de Negocio 15 Conformidade Sendo da 4 a 15, doze sees, portanto a questo est correta.

(CESPE MPU 2010 Analista de Informtica - Perito)

46) Define-se vulnerabilidade em um ambiente computacional como a causa potencial de ocorrer um incidente indesejado, a qual pode resultar, ou no, em prejuzos para uma organizao e seus ativos. Vamos pegar as definies encontradas da 27002:
Ameaa - causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao. Vulnerabilidade - fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas

Portanto a questo est errada, ela troca ameaa por vulnerabilidade. VULNERABILIDADE -> FRAGILIDADE -> EXPLORADA POR AMEAAS AMEAA -> CAUSA PONTECIAL DE INCIDENTE -> PODER RESULTAR EM DANO 47) A adoo de senhas de qualidade por parte dos usurios so recomendaes para implantar uma poltica de uso de chaves e senhas. Alguns aspectos, citados na norma, caractersticos de senhas de qualidade so senhas fceis de serem lembradas, que no sejam vulnerveis a ataques de dicionrio e que sejam isentas de caracteres idnticos consecutivos. No item 11.3.1 Uso de senhas, temos:
Controle Convm que os usurios sejam solicitados a seguir as boas prticas de segurana da informao na seleo e uso de senhas. Diretrizes para implementaco Convm que todos os usurios sejam informados para: a) manter a confidencialidade das senhas; b) evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos mveis), a menos que elas possam ser armazenadas de forma segura e o mtodo de armazenamento esteja aprovado; c) alterar senha sempre que existir qualquer indicao de possvel comprometimento do sistema ou da prpria senha; d) selecionar senhas de qualidade com um tamanho mnimo que sejam: 1) fceis de lembrar; 2) no baseadas em nada que algum facilmente possa adivinhar ou obter usando informaes relativas pessoa, por exemplo, nomes, nmeros de telefone e datas de aniversrio; 3) no vulnerveis a ataque de dicionrio (por exemplo, no consistir em palavras inclusas no dicionrio); 4) isentas de caracteres idnticos consecutivos, todos numricos ou todos alfabticos sucessivos; e) modificar senhas regularmente ou com base no nmero de acessos (convm que senhas de acesso a contas privilegiadas sejam modificadas mais freqUentemente que senhas normais) e evitar a reutilizao ou reutilizao do ciclo de senhas antigas; f) modificar senhas temporrias no primeiro acesso ao sistema; g) no incluir senhas em nenhum processo automtico de acesso ao sistema, por exemplo, armazenadas em um macro ou funeschave; h) no compartilhar senhas de usurios individuais; i) no utilizar a mesma senha para uso com finalidades profissionais e pessoais. Se os usurios necessitam acessar mltiplos servios, sistemas ou plataformas, e forem requeridos para manter separadamente mltiplas senhas, convm que eles sejam alertados para usar uma nica senha de qualidade (ver d) acima) para todos os servios, j que o usurio estar assegurado de que um razovel nvel de proteo foi estabelecido para o armazenamento da senha em cada servio, sistema ou plataforma.

Portanto a questo est correto. 48) Estimar a probabilidade de uma ameaa se concretizar dentro do ambiente computacional e identificar os impactos que um evento de segurana pode acarretar so atividades resultantes da anlise/avaliao de riscos.

Na 27002 temos o item 14.1.2 Continuidade de negcios e anlise/avaliao de riscos:

Convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.

Portanto a questo est correta. 49) Controle , segundo essa norma, qualquer sistema de processamento da informao, servio ou infraestrutura, ou as instalaes fsicas que os abriguem. Usando a definio da norma:
Controle - forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal NOTA Controle tambm usado como um sinnimo para proteo ou contramedida.

Portanto questo correta. 50) Uma das recomendaes adequadas para a gesto de ativos que o requisito de rotulao e tratamento seguro da classificao da informao fundamental para que sejam definidos os procedimentos de compartilhamento da informao, seja ela interna ou externa organizao. Temos no item 7.2.2 Rtulos e tratamento da informao:
Convm que um conjunto apropriado de procedimentos para rotulao e tratamento da informao seja definido e implementado de acordo com o esquema de classificao adotado pela organizao.

Questo certa. 51) Com o objetivo de otimizar o uso de um ambiente de desenvolvimento de software quanto aos procedimentos e responsabilidades operacionais relativos ao gerenciamento das operaes e das comunicaes, uma organizao deve garantir que software em desenvolvimento e software em produo partilhem de sistemas e processadores em um mesmo domnio ou diretrio, de modo a garantir que os testes sejam compatveis com os resultados esperados no mundo real. Nesta questo podemos citar somente um item da norma. 10.1.4 Separao dos recursos de desenvolvimento, teste e de produo.
Convm que recursos de desenvolvimento, teste e produo sejam separados para reduzir o risco de acessos ou modificaes no autorizadas aos sistemas operacionais.

Portanto a questo est errada. Normalmente quando as questes falam de juntar, partilhar, etc, estas questes esto erradas. A norma prega muito em segregao de funes e atividades para reduizer riscos e ameaas.

(CESPE TRE/MT 2009 Analista Judicirio Anlise de sistemas)

52) Com referncia segurana da informao, assinale a opo correta. A) A confidencialidade tem a ver com salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. Para tanto, necessrio que os processos de gesto de riscos identifiquem, controlem,

minimizem ou eliminem os riscos de segurana que podem afetar sistemas de informaes, a um custo aceitvel. B) A poltica de segurana da informao um conjunto de prticas conhecidas pelo nvel operacional de uma organizao que busca estabelecer uma direo tcnica clara que demonstre suporte e comprometimento com a segurana das informaes. C) A segurana fsica objetiva impedir acesso no autorizado, danos ou interferncia s instalaes fsicas e s informaes da organizao. A proteo fornecida deve ser compatvel com os riscos identificados, assegurando a preservao da confidencialidade da informao. D) Define-se gesto de riscos de segurana da informao como a avaliao das ameaas e das facilidades de processamento, impactos e vulnerabilidades das informaes e da probabilidade de ocorrncia de tais riscos. E) Servios de no repudiao so tcnicas utilizadas para detectar alteraes no autorizadas ou corrompimento dos contedos de uma mensagem transmitida eletronicamente. A) Este item trocou integralidade por confidencialidade. B) A PSI um conjunto de prticas conhecido por TODA a organizao e no somente pelo nvel operacional. C) Item correto. Vamos ler ele de novo para fixa-lo A segurana fsica objetiva impedir acesso no autorizado, danos ou interferncia s instalaes fsicas e s informaes da organizao. A proteo fornecida deve ser compatvel com os riscos identificados, assegurando a preservao da confidencialidade da informao. Na norma temos:
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao. Convm que as instalaes de processamento da informao crticas ou sensveis sejam mantidas em reas seguras, protegidas por permetros de segurana definidos, com barreiras de segurana e controles de acesso apropriados. Convm que sejam fisicamente protegidas contra o acesso no autorizado, danos e interferncias. Convm que a proteo oferecida seja compatvel com os riscos identificados.

Os itens D e E esto errados. 53) Com relao ISO 27002, assinale a opo correta. A) Aps identificar os requisitos de segurana da informao e os riscos a que uma organizao est exposta, convm que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel, pois, segundo a norma, por meio do controle gerencia-se o risco. B) A segurana da informao objetiva a preservao da confidencialidade, integridade e disponibilidade da informao. Cada categoria principal de segurana da informao contm um ou mais objetivos de controle que definem o que deve ser alcanado, alm de um controle que pode ser aplicado para que os objetivos sejam alcanados.

C) Considera-se ativo tudo que tenha valor para a organizao. So exemplos de ativos de informao os aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios. D) Diretriz a descrio que orienta o que deve ser feito e como deve ser feito, de modo a se alcanar os objetivos estabelecidos. Quanto s diretrizes para comrcio eletrnico da norma em questo, as consideraes podem ser implementadas pela aplicao de controles criptogrficos de chave assimtrica, no sendo recomendada a utilizao de chaves simtricas. E) A referida norma recomenda o desenvolvimento e a implementao de uma poltica para avaliao e uso de controles criptogrficos que, em conjunto com a anlise e avaliao de riscos, so aes independentes que auxiliam na escolha dos controles de modo mais amplo. A) Esse o item certo. Vamos reler: Aps identificar os requisitos de segurana da informao e os riscos a que uma organizao est exposta, convm que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel, pois, segundo a norma, por meio do controle gerencia-se o risco. B) Para este item podemos colocar o Item 3.2 Principais categorias de segurana da informao.
Cada categoria principal de segurana da informao contm: a) um objetivo de controle que define o que deve ser alcanado; b) um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle.

C) O item est errado. Vamos colocar as definies da norma:

Existem vrios tipos de ativos, incluindo: a) ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e informaes armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis e outros equipamentos; d) servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade e refrigerao; e) pessoas e suas qualificaes, habilidades e experincias; f) intangveis, tais como a reputao e a imagem da organizao.

D) A questo erra ao dizer que no recomendado o uso de chaves simtricas. A 27002 no fala dessa recomendao. E) Usando o comentrio do Scrates Filho: A ISO 27002 preconiza que a implementao de polticas ligadas mecanismos segurana da informao deve ser realizada aps a avaliao dos riscos que a organizao est sujeita. Dessa forma, no correto dizer que a implementao de poltica de avaliao de controles criptogrficos uma ao independente da avaliao de risco. 54) Em relao s orientaes da norma ISO 27002 quanto criptografia, assinale a opo correta.

A) Controles criptogrficos garantem a confidencialidade por meio da utilizao de assinaturas digitais ou cdigos de autenticao de mensagens (MAC), que protegem a autenticidade, originalidade, presteza e integridade de informaes sensveis ou crticas, armazenadas ou transmitidas. B) No repdio refere-se utilizao de tcnicas de criptografia para obter prova da ocorrncia ou no de um evento ou ao. C) Tcnicas criptogrficas no podem ser utilizadas para proteger chaves criptogrficas, pois existe sempre a ameaa de que seja forjada uma assinatura digital pela substituio da chave privada do usurio, em caso de utilizao de criptografia simtrica. D) Datas de ativao e desativao de chaves devem ser definidas sem restries de tempo e independentes das avaliaes de risco. E) Alm do gerenciamento seguro de chaves secretas e privadas, o processo de autenticao deve ser conduzido obrigatoriamente utilizando-se certificados de chave privada emitidos por autoridades certificadoras. Usando os comentrios do professor Scrates Filho: A) A confidencialidade garantida por meio da utilizao de algoritmos de criptografia. Assinaturas digitais e cdigos MAC garantem a integridade. C) Totalmente errado. lgico que tcnicas criptogrficas podem ser usadas para proteger chaves criptogrficas. D) Datas de ativao e desativao de chaves devem ter data (prazo de validade). Portanto item errado. E) Mas uma vez vamos repetir. A 27002 no faz obrigaes, apenas recomendaes.

(CESPE TRE/MT 2009 Tcnico Judicirio Operao de computadores)

52) Com relao a cpias de segurana, assinale a opo correta. A) As cpias de segurana, juntamente com o controle consistente e atualizado dessas cpias e a documentao dos procedimentos de recuperao, devem ser mantidas no mesmo local da instalao principal, em local suficientemente prximo para sua imediata recuperao em caso de falha. B) Trs geraes, ou ciclos, de cpias de segurana das aplicaes crticas a quantidade mnima recomendada que deve ser mantida em local seguro (ambiente de backup) com os mesmos controles adotados para as mdias no ambiente principal. C) As mdias utilizadas para cpias no precisam ser periodicamente testadas, pois so usadas somente em caso de falha. D) Uma vez aprovados, os procedimentos de recuperao no devem ser modificados nem verificados periodicamente; a segurana do procedimento inicialmente acordada no ser violada. E) Segurana da informao obtida a partir da implementao de uma srie de controles que podem ser polticos, prticos, procedimentos, estruturas organizacionais e funes de software, sendo caracterizada pela preservao da continuidade, confiabilidade e criptografia dos dados.

A) A norma diz que as cpias devem ser mantidas em local diferente da instalao, portanto item errado. Vejamos:
As cpias de segurana sejam armazenadas em uma localidade remota, a uma distncia suficiente para escapar dos danos de um desastre ocorrido no local principal;

B) No foi encontrado nada na norma fala que fala em trs ciclos, porm este o gabarito. C) Item errado. Vejamos a norma:
Convm que as copias de segurana das informaes e dos softwares sejam efetuadas e testadas regularmente conforme a poltica de gerao de cpias de segurana definida.

D) Item errado, os procedimentos de recuperao devem ser modificados e verificados oportunamente.

Os procedimentos de recuperao sejam verificados e testados regularmente, de forma a garantir que estes so efetivos e que podem ser concluldos dentro dos prazos definidos nos procedimentos operacionais de recuperao;

E) Usando o comentrio do professor Scrates. Segurana da informao caracterizada pela preservao da confidencialidade, integridade e disponibilidade dos dados, com objetivo de garantir a continuidade do negcio e minimizar os seus riscos. Portanto item errado. Usando a norma temos, no item 0.1 O que segurana da informao:
A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware.

53) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Na prtica, os padres 27001 e 27002 normalmente so usados em conjunto, embora seja possvel o uso de outros controles de segurana da informao juntamente com o padro 27001, at mesmo em substituio ao padro 27002. Usando comentrio do professor Gleyson. No item 4.2.1 g), a norma 27001 afirma que os controles listados no Anexo A, que contm em resumo todos os controles da norma 27002, no so exaustivos, podendo ser selecionados objetivos de controle e controles adicionais. Portanto a questo est correta. 54) (ANAC/Analista Administrativo/Tecnologia da Informao/2009) Um evento de segurana de informao uma ocorrncia em um sistema, servio ou estado de rede que indica, entre outras possibilidades, um possvel desvio em relao aos objetivos de segurana especficos da organizao, e um incidente de segurana de informao um evento nico ou uma srie de eventos indesejados de segurana da informao que possuem um impacto mediano sobre os negcios. Usando as definies da 27002:
Um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. Evento de segurana da informao - ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao.

Portanto a questo erra ao dizer em impacto mediano. 55) (TRT-21/Analista Judicirio/Tecnologia da Informao/2010) Incidente de segurana da informao uma ocorrncia identificada de um sistema, servio ou rede que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao.
Um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. Evento de segurana da informao - ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao.

Mas uma vez, questo errada. Trocou evento de SI por incidente de SI. 56) Testes de mesa, testes de recuperao em local alternativo e ensaio geral so tcnicas que podem ser empregadas na gesto da continuidade de negcios, conforme prescrio na norma ABNT NBR ISO/IEC 17799:2005. Na 27002, 14.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio, temos:
Convm que vrias tcnicas sejam utilizadas, de modo a assegurar a confiana de que o(s) plano(s) ir(o) operar consistentemente em casos reais. Convm que sejam considerados: a) testes de mesa simulando diferentes cenrios (verbalizando os procedimentos de recuperao para diferentes formas de interrupo); b) simulaes (particularmente til para o treinamento do pessoal nas suas atividades gerenciais aps o incidente); c) testes de recuperao tcnica (garantindo que os sistemas de informao possam ser efetivamente recuperados); d) testes de recuperao em um local alternativo (executando os processos de negcios em paralelo com a recuperao das operaes distantes do local principal); e) testes dos recursos, servios e instalaes de fornecedores (assegurando que os servios e produtos fornecidos por terceiros atendem aos requisitos contratados); f) ensaio geral (testando se a organizao, o pessoal, os equipamentos, os recursos e os processos podem enfrentar interrupes).

Portanto a questo est correta. 57) (TJ-ES/Analista Judicirio/Anlise de Suporte/2011) Na rea de segurana da informao, esto excludas do conceito de controle as polticas, as diretrizes, as prticas ou a prpria estrutura organizacional, que so consideradas contramedidas ou aes de preveno. Na 27002, podemos encontrar a definio de controle:
Controle - forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal. NOTA Controle tambm usado como um sinnimo para proteo ou contramedida.

Portanto a questo est errada.

58) (TCU/Auditor Federal de Controle Externo/Tecnologia da Informao/2010) Os requisitos do negcio para o processamento de informao, que uma organizao tem de desenvolver para apoiar suas operaes, esto entre as fontes principais de requisitos de segurana da informao. Segundo a norma, as fontes principais so:
essencial que uma organizao identifique os seus requisitos de segurana da informao. Existem trs fontes principais de requisitos de segurana da informao. 1. Uma fonte obtida a partir da anlise/avaliao de riscos para a organizao, levando-se em conta os objetivos e as estratgias globais de negcio da organizao. Por meio da anlise/avaliao de riscos, so identificadas as ameaas aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio. 2. Uma outra fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seus parceiros comerciais, contratados e provedores de servio tm que atender, alm do seu ambiente sociocultural. 3. A terceira fonte um conjunto particular de princpios, objetivos e os requisitos do negcio para o processamento da informao que uma organizao tem que desenvolver para apoiar suas operaes.

Portanto a questo est correta. 59) (MPU/Analista de Informtica/Perito/2010) Os principais fatores crticos de sucesso apresentados na referida norma incluem poltica de segurana, abordagem e estrutura da segurana consistente com a cultura organizacional, comprometimento de todos os nveis gerenciais, entendimento dos requisitos de segurana e divulgao da segurana. A norma cita os fatores crticos de sucesso:
A experincia tem mostrado que os seguintes fatores so geralmente crticos para o sucesso da implementao da segurana da informao dentro de uma organizao: a) poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos do negcio; b) uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao que seja consistente com a cultura organizacional; c) comprometimento e apoio visvel de todos os nveis gerenciais; d) um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da gesto de risco; e) divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao; f) distribuio de diretrizes e normas sobre a poltica de segurana da informao para lodos os gerentes, funcionrios e outras partes envolvidas; g) proviso de recursos financeiros para as atividades da gesto de segurana da informao; h) proviso de conscientizao, treinamento e educao adequados; i) estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao; j) implementao de um sistema de medio 1, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes para a melhoria.

Portanto a questo est correta. 60) (TRE-ES/Analista Judicirio/Anlise de Sistemas/2011) O documento relativo poltica de segurana da informao deve ser aprovado pela direo da empresa, publicado e comunicado a todos os funcionrios e s partes externas relevantes. Nesta questo podemos usar o comentrio do professor Gleyson Azevedo:

A afirmativa da questo bastante similar descrio do controle 5.1.1, relativo ao documento da poltica de segurana da informao (ABNT, 2005, p. 8). A nica distino entre ambos que a norma traz o controle como uma sugesto, na forma: Convm que um documento da poltica de segurana da informao seja aprovado..., enquanto na questo utilizado o verbo dever, como se o controle descrito fosse uma imposio. Cabe observar que o texto da questo exatamente o mesmo trazido na descrio do controle 5.1.1 no anexo A da norma 27001 (ABNT, 2006, p. 14) e que em diversas outras questes o CESPE considera como corretas afirmativas que contm descries de controles a partir do anexo A da 27001, onde o verbo dever sempre empregado. Portanto a questo est errada. 61) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Uma poltica de segurana eficaz parte da premissa do uso efetivo de um conjunto de ferramentas de segurana, como firewalls, sistemas de deteco de intrusos, validadores de senha e criptografia forte. Vamos mais uma vez usar o comentrio do professor Gleyson Azevedo: A eficcia da poltica de segurana, bem como sua pertinncia e adequao, no est associada utilizao de ferramentas especficas, mas a um processo de constante avaliao e implementao de ajustes, fundamentados na realizao de anlises crticas a intervalos planejados ou quando mudanas significativas ocorrerem (ABNT, 2005, p. 9). Portanto a questo est errada. 62) (BASA/Tcnico Cientfico/Tecnologia da Informao/Segurana da Informao/2009) So exemplos de ativos de uma organizao a informao e os processos de apoio, sistemas e redes. Os requisitos de segurana, em uma organizao, so identificados por meio de anlise sistemtica dos riscos de segurana. Vamos citar o item 7.1.1 Inventrio dos ativos da 27002:
Existem vrios tipos de ativos, incluindo: a) ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e informaes armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis outros equipamentos; d) servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade e refrigerao; e) pessoas e suas qualificaes, habilidades e experincias; f) intangveis, tais como a reputao e a imagem da organizao. Os inventrios de ativos ajudam a assegurar que a proteo efetiva do ativo pode ser feita e tambm pode ser requerido para outras finalidades do negcio, como sade e segurana, seguro ou financeira (gesto de ativos). O processo de compilao de um inventrio de ativos um pr-requisito importante no gerenciamento de riscos (ver seo 4 ).

A segundo afirmao da questo podemos tambm pegar da norma:

Os requisitos de segurana da informao so identificados por meio de uma anlise/avaliao sistemtica dos riscos de segurana da informao. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciais falhas na segurana da informao.

A questo est correta. 63) (BASA/Tcnico Cientfico/Tecnologia da Informao/Segurana da Informao/2009) Uma organizao deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importncias e indicar um proprietrio responsvel por eles. A informao deve ser classificada em termos de sua utilidade, adequabilidade e nvel de segurana. Provavelmente esta questo repetida, mas importante, ento vamos l:
Convm que classificao da informao se d em termos do seu valor, requisitos legais, sensibilidade e criticidade.

64) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Um arquivo de texto, uma IDE para desenvolvimento em linguagem C e um pendrive so classificados como ativos de software, de servio e fsico, respectivamente. Mais uma questo sobre classificao de ativo, cita a norma:
Existem vrios tipos de ativos, incluindo: a) ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e informaes armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis outros equipamentos; d) servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade e refrigerao; e) pessoas e suas qualificaes, habilidades e experincias; f) intangveis, tais como a reputao e a imagem da organizao.

Questo errada. (TRT-21/Analista Judicirio/Tecnologia da Informao/2010) O objetivo de controle Controles de Entrada Fsica estabelece que permetros de segurana (barreiras, como paredes, portes de entrada controlados por carto ou balces de recepo com recepcionistas) devem ser utilizados para proteger as reas que contenham informaes e recursos de processamento da informao. O professor Gleyson fez um belo comentrio sobre essa questo: Controle de entrada fsica no objetivo de controle e sim um controle da norma 27002 (9.1.2). Alm do mais, a descrio dada na questo diz respeito ao controle 9.1.1 da referida norma, que trata de permetros de segurana fsica (ABNT, 2005, pp. 32-33). Vamos norma:
9.1.1 Permetro de segurana fsica Controle Convm que sejam utilizados permetros de segurana (barreiras tais como paredes, portes de entrada controlados por carto ou balces de recepo com recepcionistas) para proteger as reas que contenham informaes e instalaes de processamento da informao. 9.1.2 Controles de entrada fsica Controle Convm que as reas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.

Portanto o item est errado. 65) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Alcanar e manter a proteo adequada dos ativos da organizao um objetivo de controle estabelecido na norma NBR/ISO/IEC 27001/2006. Associado a esse objetivo, h o controle relativo remoo de propriedade, o qual determina que um ativo no mais utilizado por um proprietrio dever ser dele desvinculado. Vamos norma:
7.1 Responsabilidade pelos ativos
Objetivo: Alcanar e manter a proteo adequada dos ativos da organizao. Convm que todos os ativos sejam inventariados e tenham um proprietrio responsvel. Convm que os proprietrios dos ativos sejam identificados e a eles seja atribuda a responsabilidade pela manuteno apropriada dos controles. A implementao de controles especficos pode ser delegada pelo proprietrio, conforme apropriado, porm o proprietrio permanece responsvel pela proteo adequada dos ativos.

Portanto a questo est errada. O Objetivo de controle o 7.1 Responsabilidade pelos ativos. E a segunda parte tambm est errada, porque a remoo de propriedade est no objetivo de controle 9.2 Segurana de equipamentos. 66) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Registros ou logs de auditoria podem conter dados pessoais confidenciais e de intrusos; por isso, importante que medidas de proteo adequadas sejam tomadas, como, por exemplo, no permitir, quando possvel, que administradores de sistemas no tenham permisso de excluso ou desativao de registros de suas prprias atividades. Temos que ir a norma no item 10.10.1 Registros de auditoria:
lnformaes adicionais Os registros (/og) de auditoria podem conter dados pessoais confidenciais e de intrusos. Convm que medidas apropriadas de proteo de privacidade sejam tomadas (ver 15.1.4). Quando possvel, convm que administradores de sistemas no tenham permisso de excluso ou desativao dos registros (log) de suas prprias atividades (ver 1 0.1.3).

A questo erra, nesta parte:no permitir, quando possvel, que administradores de sistemas no tenham permisso. So duas negaes, tornando a questo errada. (TRT-21/Analista Judicirio/Tecnologia da Informao/2010) O objetivo de controle Anlise Crtica dos Direitos de Acesso de Usurio estabelece que deve existir um procedimento formal de registro e cancelamento de usurio para garantir e revogar acessos em todos os sistemas de informao e servios. Usando o comentrio do professor Gleyson:
A anlise crtica dos direitos de acesso de usurio o controle 11.2.4 da norma 27002 e no um objetivo de controle. Alm disso, a descrio presente na questo diz respeito ao controle 11.2.1, que trata do registro de usurio (ABNT, 2005, p. 66).

Vamos ler a norma:

11.2.4 Anlise crtica dos direitos de acesso da usurio

Controle Convm que o gestor conduza a intervalos regulares a anlise critica dos direitos de acesso dos usurios, por meio de um processo formal. 11.2.1 Registro de usurio Controle Convm que exista um procedimento formal de registro e cancelamento de usurio para garantir e revogar acessos em todos os sistemas de informao e servios.

Portanto o item est correto. 67) (TRE-ES/Analista Judicirio/Anlise de Sistemas/2011) As aes que minimizam o risco de vazamento de informaes mediante o uso e a explorao de covert channels incluem a varredura do envio de mdias e comunicaes, para verificao da presena de informao oculta; o mascaramento e a modulao do comportamento dos sistemas e das comunicaes, a fim de evitar que terceiros subtraiam informaes dos sistemas; e o monitoramento regular do uso dos recursos computacionais e das atividades do pessoal. No controle 12.5.4 Vazamento de informaes:
Controle Convm que oportunidades para vazamento de informaes sejam prevenidas. Diretrizes para implementaco Convm que os seguintes itens sejam considerados, para limitar o risco de vazamento de informaes, por exemplo atravs do uso e explorao de covert channels: a) a varredura do envio de mdia e comunicaes para verificar a presena de informao oculta; b) o mascaramento e a modulao do comportamento dos sistemas e das comunicaes para reduzir a possibilidade de terceiros deduzirem informaes a partir do comportamento dos sistemas; c) a utilizao de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando produtos avaliados (ver ISO/IEC 15408); d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislao ou regulamentao vigente; e) o monitoramento do uso de recursos de sistemas de computao. Os covert channels so caminhos no previstos para conduzir fluxo de informaes, mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipulao de bits no protocolo de pacotes de comunicao poderia ser utilizada como um mtodo oculto de sinalizao. Devido sua natureza, seria difcil, se no impossvel, precaver-se contra a existncia de todos os possveis covert channels. No entanto, a explorao destes canais freqentemente realizada por cdigo troiano (ver 1 0.4.1 ). A adoo de medidas de proteo contra cdigo troiano reduz, conseqentemente, o risco de explorao de covert channes. A precauo contra acesso no autorizado rede (ver 11.4 ), como tambm polticas e procedimentos para dissuadir o mau uso de servios de informao pelo pessoal (ver 15.1.5), pode ajudar a proteger contra covert channels.

Portanto a questo est correta. 68) (ABIN/Oficial Tcnico de Inteligncia/Suporte a Rede de Dados/2010) Funcionrios, fornecedores e terceiros devem ser instrudos a averiguar, imediatamente, qualquer fragilidade na segurana de informao suspeita. Na 27002, no controle 13.1.2 Notificando fragilidades de segurana da informao temos:
Convm que os funcionrios, fornecedores e terceiros sejam alertados para no tentarem averiguar uma fragilidade de segurana da informao suspeita. Testar fragilidades pode ser interpretado como um uso imprprio potencial do sistema e tambm pode causar danos ao sistema ou servio de informao, resultando em responsabilidade legal ao indivduo que efetuar o teste.

Portanto a questo est errada. 69) (CESPE - 2012 - TRE-RJ - Analista Judicirio - Anlise de Sistemas) Na gesto de ativos, conveniente que todos os ativos sejam inventariados e tenham proprietrio responsvel. No item 7.1 Responsabilidade pelos ativos (7 Gesto de ativos)
Convm que todos os ativos sejam inventariados e tenham um proprietrio responsvel.

Portanto questo certa.