Quest Esco Men Tad As I So 27002

0
2012
Lhugojr
Verso 1.0
09/12/2012
Questes Comentadas
ISO 270022
2012
Lhugojr
Verso 1.0
09/12/2012
Questes Comentadas
ISO 27002
Introdua oVale ressaltar que alguns
comenta rios sobre as questo es foram
retiradas das seguintes fontes:
TECNOLOGIA DA INFORMAO - QUESTES COMENTADAS CESPE/UNB -
http://www.dominandoti.com.br/livros
TI SEGURANA DA INFORMAO PARA CONCURSOS NVEL AVANADO - http://socratesfilho.com/cursos-
teorico/seguranca-da-informacao-para-concursos/
Provas de TI www.provasdeti.com.br
Tambm foram usadas outras fontes, como livros, comentrios do site Questes de Concursos, etc.
Os comentrios so sempre feitos colocando as fontes encontradas, algumas questes so mais difceis de
encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros.
Espero que ajude.
Abraos.
Notas da Versa o
Essa a verso 1.0, sendo a maioria das questes da banca CESPE, com o tempo espero acrescentar muito
mais questes.
Caso encontre algum erro nesta verso pode mandar um e-mail para lhugojr@hotmail.com, colocando o
nmero da questo e o erro encontrado.
Voc tambm pode ajudar a melhorar os comentrios, alguns comentrios podem estar com o nvel fraco, isso
ocorre quando no so encontradas fontes que tratam sobre o tema da questo. Caso voc encontre alguma
fonte ou queira melhorar o comentrio mande um e-mail.

1 ISO 17799 / ISO 27002
1.1 CESPE/UNB
(CESPE - TCU 2007 Analista de Controle Externo Auditoria em TI)
1) A NBR 17799 prescreve o uso de gerenciamento quantitativo de riscos.
A NBR 17799 prescreve o uso de gerenciamento de riscos, mas no prescreve ele da forma quantitativa, como
existe no PMBOK. Portanto o tem est errado.
2) A NBR 17799 prescreve vrios atributos de classificao da informao, entre os quais se encontram os
que indicam graus de sensibilidade e criticidade. O grau de sensibilidade de um ativo de informao est
mais associado a aspectos de privacidade que o grau de criticidade, este mais relacionado a aspectos
negociais.
O item 7.2 Classificao da informao (7 Gesto de ativos) fala:
Objetivo: Assegurar que a informao receba um nvel adequado de proteo.

Convm que a informao seja classificada para indicar a necessidade, prioridades e o nvel esperado de
proteo quando do tratamento da informao.

A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel
adicional de proteo ou tratamento especial. Convm que um sistema de classificao da informao seja
usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas
especiais de tratamento.
A questo est correta. Portanto temos:

3) A NBR 17799 prescreve explicitamente que as instalaes de processamento da informao gerenciadas
por uma organizao devem estar fisicamente separadas daquelas que so gerenciadas por terceiros. Esse
controle est descrito no captulo 9 da referida NBR, juntamente com outros relacionados a ameaas
externas como exploses e perturbaes sociais, e controle de acesso com mltiplos fatores de
autenticao, como senhas, smart cards e biometria.
A NBR no faz prescries, que so impositivas, mas recomendaes, que a organizao segue se quiser. Ou
seja a norma NO OBRIGA, somente recomenda.
De novo a ISO 27002 NO OBRIGA, NO faz imposies.

(CESPE - TCU 2007 Analista de Controle Externo Tecnologia da Informao)
4) A seleo de controles de segurana da informao a implantar dever ser fundamentada principalmente
na identificao das ameaas aos ativos organizacionais. Para cada ameaa mapeada, devero ser
identificados os controles de segurana aplicveis.
Segundo a norma no item 0.6 Ponto de partida para a segurana da informao:
Convm observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a
relevncia de qualquer controle deve ser determinada segundo os riscos especficos a que uma organizao est
exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a seleo
de controles, baseado na anlise/avaliao de riscos.
Portanto o item est errado a seleo de controles de segurana da informao dever ser fundamentada
principalmente na avaliao dos riscos envolvendo ameaas aos ativos organizacionais.
A norma ainda fala no item 4.2 Tratando os riscos de segurana da informao:
Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento do risco precisa ser
tomada. Possveis opes para o tratamento do risco, incluem:

a) aplicar controles apropriados para reduzir os riscos;
...
5) A organizao dever estabelecer um programa avanado de treinamento tcnico em segurana da
informao para todos os seus empregados relacionados com a prestao de atividades-fim relacionadas ao
seu negcio.
No item 8.2.2 Conscientizao, educao e treinamento em segurana (8 Segurana em recursos humanos):
Convm que todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados
em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais, relevantes para as suas funes.
A norma nada fala em treinamento avanado para todos os seus empregados. Portanto o item est errado.
6) Todo evento de segurana da informao identificado no mbito da organizao corresponder a uma ou
mais violaes da poltica de segurana da informao da organizao.
Segundo a norma:
Evento de Segurana da informao - ocorrncia identificada de um sistema, servio ou rede, que indica uma
possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente
desconhecida, que possa ser relevante para a segurana da informao.
Sendo assim nem TODO evento de SI identificado corresponde a uma ou mais violaes. Item errado.
Tambm vale lembrar o conceito de Incidente de segurana da informao: um incidente de segurana da
informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados
ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar
a segurana da informao.
7) Os riscos de segurana da informao identificados no mbito da organizao devero ser analisados
quanto s possveis opes de tratamento: mitigao ou reduo; aceitao; eliminao ou contorno; e
transferncia. Entre as quatro alternativas de tratamento, a que apresenta maior demanda por implantao
de controles a mitigao ou reduo. Os riscos aceitos so os de menor nvel ou que atendam a critrios de
avaliao previamente definido.
No item 4.2 Tratando os riscos de segurana da informao (4 Anlise/avaliao e tratamento de riscos):
Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento do risco precisa ser
tomada. Possveis opes para o tratamento do risco, incluem:

a) aplicar controles apropriados para reduzir os riscos;
b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da organizao e aos critrios para a
aceitao de risco;
c) evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos;
d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
O item est correto.
8) A ISO 17799 define diretrizes para certificao de que uma organizao est em conformidade prpria
norma. Essa certificao conferida por meio de uma auditoria de terceira parte, nos moldes da ISO 19011.
A ISO 27002, antiga 17799, no para certificao, somente a ISO 27001 para certificao das empresas.
9) Conforme a ISO 17799, obrigatrio o relatrio de incidentes de segurana ao ponto de contato
designado. Assim, um funcionrio de uma organizao que realiza operaes de alto risco e identifica uma
violao de acesso, porm encontra-se sob coao, poder utilizar-se de um mtodo secreto para indicar
esse evento de segurana. Esse mtodo conhecido como alarme de coao.
Mais uma vez, a ISO 27002 no define nada como obrigatrio. Ela no impositiva. Ela somente faz
SUGESTES. De novo a ISO 27002 no obriga.
10) Tendo em vista o ambiente de TI implantado em uma entidade, faz-se necessrio que essa entidade
disponha de critrios de aceitao para novos sistemas.
No item 10.3.2 Aceitao de Sistemas (10 Gerenciamento das operaes):
Convm que sejam estabelecidos critrios de aceitao para novos sistemas, atualizaes e novas verses, e que sejam efetuados
testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitao.
O item portanto est correto.
11) Os recursos e os ambientes de desenvolvimento, teste e produo devem interagir permanentemente
para a obteno da compatibilidade e da harmonia pretendida.
No item 12.5.1 Procedimentos para controle de mudanas (12 Aquisio desenvolvimento e manuteno):
A mudana de software pode ter impacto no ambiente operacional.
As boas prticas incluem o teste de novos softwares em um ambiente segregado dos ambientes de produo e de desenvolvimento
(ver 10.1.4). Isto fornece um meio de controle sobre o novo software e permite uma proteo adicional informao operacional que
utilizada para propsitos de teste. Aplica-se tambm s correes, pacotes de servio e outras atualizaes. Convm que
atualizaes automticas no sejam utilizadas em sistemas crticos, pois algumas atualizaes podem causar falhas em aplicaes
critica
Portanto o item est correto.

(CESPE SERPRO 2008 Analista de Sistemas - Desenvolvimento)
12) A norma ISO/IEC 17799 est voltada criao de um Sistema de Gesto da Segurana da Informao
mas seu contedo no mais vlido, pois foi substituda recentemente pela nova norma 27002.
A ISO 27002 define no item 1 Objetivo:
Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da
informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas
para a gesto da segurana da informao.
J a ISO 27001 define no item 1 Objetivo:
Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos comerciais, agncias governamentais, organizaes
sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao. Ela especifica requisitos
para a implementao de controles de segurana personalizados para as necessidades individuais de organizaes ou suas partes.
Portanto o item est incorreto. Porque a 27001 que voltada para o SGSI. A segundo parte tambm est
errada., a 17799 ainda valida, s houve uma troca de numerao.
(CESPE ANTAQ 2009 Analista Administrativo Informtica - ADAPTADA)
13) So exemplos de controles administrativos: as polticas de segurana, os procedimentos de classificao
da informao e a identificao e autenticao de sistemas.
As polticas de segurana no so um controle administrativo. Ela define como as regras para a implementao
dos tipos de controle sobre os dados e os ativos da companhia, inclusive os controles administrativos. Portanto
item errado.
Segundo a 27002, poltica a intenes e diretrizes globais formalmente expressas pela direo.
14) A anlise de vulnerabilidades, quando realizada no arcabouo de uma atividade de anlise de riscos,
precedida, usualmente, da anlise de ameaas, mas antecede a anlise de controles, podendo cada controle
inexistente ser traduzido em uma vulnerabilidade existente.
Essa questo um pouco polemica, porm se cair de novo em prova deve ser assinalado correto. Portanto
temos:
[1 Anlise de ameaas] -> [2 Anlise de vulnerabilidades] -> [3 Anlise de controles]
CONTROLE INEXISTENTE --> VULNERABILIDADE EXISTENTE
15) Se determinada parte de um ativo de informao classificada como confidencial, possvel que o grau
de sigilo atribudo a esse ativo seja secreto ou ultrassecreto, no devendo o ativo ser classificado como
reservado.
Essa questo no trata especificamente da 27002, e sim do decreto 4.553/2002. Apelando para o comentrio
do professor Gleyson Azevedo:
O governo federal brasileiro adota uma classificao de informaes regulada pelo Decreto n 4.553, de 27 de
dezembro de 2002. Nessa norma, a informao assim classificada de acordo com o grau de sigilo (da mais
para a menos sigilosa):
ultrassecreta dados ou informaes referentes soberania e integridade territorial nacionais, a planos e
operaes militares, s relaes internacionais do Pas, a projetos de pesquisa e desenvolvimento cientfico e
tecnolgico de interesse da defesa nacional e a programas econmicos, cujo conhecimento no-autorizado
possa acarretar dano excepcionalmente grave segurana da sociedade e do Estado;
secreta dados ou informaes referentes a sistemas, instalaes, programas, projetos, planos ou
operaes de interesse da defesa nacional, a assuntos diplomticos e de inteligncia e a planos ou detalhes,
programas ou instalaes estratgicos, cujo conhecimento no- autorizado possa acarretar dano grave
segurana da sociedade e do Estado.
confidencial dados ou informaes que, no interesse do Poder Executivo e das partes, devam ser de
conhecimento restrito e cuja revelao no-autorizada possa frustrar seus objetivos ou acarretar dano
segurana da sociedade e do Estado.
reservada dados ou informaes cuja revelao no-autorizada possa comprometer planos, operaes ou
objetivos neles previstos ou referidos.
Vamos ao que interessa ento.

regra geral que se um sistema contm dados que deveriam ser classificados em nveis diferentes, ele deve ser classificado com
o nvel referente ao dado mais confidencial. Doravente, chamarei isso de princpio do maior sigilo.

Separando a questo em duas partes, temos:

1. Se determinada parte de um ativo de informao classificada como confidencial, possvel que o grau de sigilo atribudo a esse
ativo seja secreto ou ultrassecreto.

Se uma determinada mdia, como um cd, possui diversos arquivos confidenciais, mas somente um secreto ou ultrassecreto,
a classificao da mdia ser sempre a de maior grau de sigilo, ou seja, secreta ou ultrassecreta. Logo, essa afirmao est CERTA.

2. (...) no devendo o ativo ser classificado como reservado.

Se uma mdia possusse um arquivo confidencial e vrios arquivos reservados, a sua classificao, pelo princpio de maior
sigilo, deveria ser confidencial e nunca reservada, o que atentaria contra o referido princpio.

Portanto, a afirmao est CERTA tambm.

Logo, o item est CERTO.
Devemos ento levar em considerao o princpio do maior sigilo.
(CESPE TCU 2009 Auditor Federal de Controle Externo Tecnologia da
Informao)
A lista abaixo apresenta os ttulos das sees da norma ABNT NBR ISO/IEC 27002 (17799), que contm um
guia das melhores prticas em gesto da segurana da informao. Tais sees possuem correspondente
registro no anexo A da norma ABNT NBR ISO/IEC 27001, definindo grupos de objetivos de controles e
controles de segurana que podem ser implementados.
5 Poltica de Segurana
6 Organizando a Segurana da Informao
7 Gesto de Ativos
8 Segurana em Recursos Humanos
9 Segurana Fsica e do Ambiente
10 Gerenciamento das Operaes e Comunicaes
11 Controle de Acessos
12 Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao
13 Gesto de Incidentes de Segurana da Informao
14 Gesto da Continuidade do Negcio
15 Conformidade
Nos itens de 177 a 180, julgue as propostas de associao entre conceitos ou prticas de segurana e as
sees da norma ABNT NBR ISO/IEC 27002.
16) O emprego de um ambiente computacional dedicado isolado, bem como a blindagem eletromagntica e
o levantamento dos ativos envolvidos em processos crticos so abordagens diretamente associadas ao
Controle de Acessos, Segurana Fsica e do Ambiente e Gesto da Continuidade do Negcio,
respectivamente.
Na 27002 temos:
11 Controle de acesso
(...)
11.6.2 Isolamento de sistemas sensveis
Controle
Convm que sistemas sensveis tenham um ambiente computacional dedicado (isolado).
9 Segurana fsica e do ambiente
(...)
9.2.3 Segurana do cabeamento
(...)
Diretrizes para implementaco
Convm que sejam levadas em considerao as seguintes diretrizes para a segurana do cabeamento:
(...)
4) utilizao de blindagem eletromagntica para a proteo dos cabos;
(...)
14 Gesto da continuidade do negcio
(...)
14.1.1 Incluindo segurana da informao no processo de gesto da continuidade de negcio
(...)
b) identificao de todos os ativos envolvidos em processos crticos de negcio (ver 7.1.1 );
17) A configurao de protees de tela bloqueadas por senha e o uso de firewalls e sistemas de deteco
de intrusos so aes apenas indiretamente ligadas gesto de Incidentes de Segurana da Informao e
Conformidade, respectivamente.
No foi achado nenhuma biografia sobre esta questo, mas se cair de novo deve ser considerado certo. J que
o gabarito final foi este.
18) A proteo de registros organizacionais, entre eles o registro de visitantes, constitui uma prtica
diretamente associada Segurana Fsica e do Ambiente, embora, no caso especfico do registro de
visitantes, esteja prescrita visando o alcance da Segurana em Recursos Humanos.
No item 9.1.2 Controle de entrada fsica (9 Segurana fsica):
(...)
Diretrizes para imolementaco
Convm que sejam levadas em considerao as seguintes diretrizes:
a) a data e hora da entrada e salda de visitantes sejam registradas, e todos os visitantes sejam supervisionados, a no ser
que o seu acesso tenha sido previamente aprovado; convm que as permisses de acesso sejam concedidas somente para
finalidades especficas e autorizadas, e sejam emitidas com instrues sobre os requisitos de segurana da rea e os
procedimentos de emergncia;
(...)
Portanto a questo est correta.
(CESPE TRE/PR 2009 Analista Judicirio Especialidade: Anlise de Sistemas)
19) Os gastos com os controles no necessitam ser balanceados de acordo com o negcio.
Temos no item 0.4 Analisando/avaliando os riscos de segurana da informao:
Os requisitos de segurana da informao so identificados por meio de uma anlise/avaliao sistemtica dos riscos de segurana
da informao. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negcios gerados pelas
potenciais falhas na segurana da informao.
Portando o item est correto.
(CESPE Banco da Amaznia - 2010 Tcnico Cientfico Especialidade: Tecnologia
da Informao Redes e Telecomunicaes)
20) A poltica de segurana cumpre trs principais funes: define o que e mostra por que se deve proteger;
atribui responsabilidades pela proteo; e serve de base para interpretar situaes e resolver conflitos que
venham a surgir no futuro.
No foi encontrada nenhuma bibliografia sobre o assunto. O gabarito correto. Portanto vale lembrar desta
questo.
Funes da PSI:
Define o que e mostra por que se deve proteger;
atribui responsabilidades pela proteo;
serve de base para interpretar situaes e resolver conflitos que venham a surgir no futuro.

(CESPE Banco da Amaznia - 2010 Tcnico Cientfico Especialidade: Tecnologia
da Informao Segurana da Informao)
21) Um incidente de segurana da informao refere-se a um ou mais riscos no desejados ou esperados
que possuem significativa probabilidade de comprometer os ativos de informao e ameaam a segurana
da informao.
Segundo a norma no item 2 Termos e definies temos:
Incidente de segurana da informao - um incidente de segurana da informao indicado por um simples ou por uma srie de
eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as
operaes do negcio e ameaar a segurana da informao.
Ameaa - causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao.
Portanto o item est errado. O termo referido na questo est se referindo a ameaa.

22) So exemplos de ativos de uma organizao a informao e os processos de apoio, sistemas e redes. Os
requisitos de segurana, em uma organizao, so identificados por meio de anlise sistemtica dos riscos
de segurana.
No item 0.4 Analisando/avaliando os riscos de segurana da informao, temos:
Agora no item 0.2 Por que a segurana da informao necessria? Temos:
A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios.
Definir, alcanar, manter e melhorar a segurana da informao podem ser atividades essenciais para assegurar a competitividade,
o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao junto ao mercado.
23) Entre os ativos associados a sistemas de informao em uma organizao, incluem-se as bases de dados
e arquivos, os aplicativos e os equipamentos de comunicao (roteadores, secretrias eletrnicas etc.).
Segundo o professor Scrates Filho:
Os ativos de uma organizao devem estar ligados aos negcios dela. Se os aplicativos e equipamentos no
tiverem ligao com os negcios, eles no podem ser classificados como ativos associados aos sistemas de
informao, como no caso das secretrias eletrnicas. Portanto a questo est errada.
Agora falando da norma ela no item 7.1.1 Inventrio dos ativos (7 Gesto dos ativos), cita:
Existem vrios tipos de ativos, incluindo:

a) ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa,
manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio,
procedimentos de recuperao, trilhas de auditoria e informaes armazenadas;
b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;
c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis e outros equipamentos;
d) servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade e
refrigerao;
e) pessoas e suas qualificaes, habilidades e experincias;
f) intangveis, tais como a reputao e a imagem da organizao.
24) Uma organizao deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e
importncias e indicar um proprietrio responsvel por eles. A informao deve ser classificada em termos
de sua utilidade, adequabilidade e nvel de segurana.
A norma 27002 fala no item 7.2.1 Recomendaes para classificao (7 Gesto de ativos):
Convm que a informao seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organizao.
Portanto a questo est incorreto.
25) conveniente que, na classificao das informaes e seu respectivo controle de proteo, considerem-
se as necessidades de compartilhamento ou restrio de informaes. Ao se tornar pblica, uma informao
frequentemente deixa de ser sensvel ou crtica.
Ainda no item 7.2.1 Recomendaes para classificao (7 Gesto de ativos):
A informao freqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo quando a informao
se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma classificao superestimada pode levar
implementao de custos desnecessrios, resultando em despesas adicionais.
Portanto a questo est certa.
26) Recomenda-se que as responsabilidades de segurana sejam atribudas nas fases de seleo de pessoal,
includas em acordos informais de trabalho e monitoradas durante a vigncia de cada contrato de trabalho.
Esta questo est baseada no item 8 Segurana em recursos humanos.
Convm que as responsabilidades pela segurana da informao sejam atribudas antes da contratao, de
forma adequada, nas descries de cargos e nos termos e condies de contratao.
Convm que todos os funcionrios, fornecedores e terceiros, usurios dos recursos de processamento da
informao, assinem acordos sobre seus papis e responsabilidades pela segurana da informao.
Portanto a questo est errado, j que a norma no fala nada em acordos INFORMAIS.
27) O documento da poltica de controle de acesso contm as polticas para autorizao e distribuio de
controle de acesso. recomendvel a existncia de um procedimento formal de registro e cancelamento de
usurio para obteno de acesso a todos os sistemas de informao e servios, com exceo dos sistemas
multiusurios.
A poltica de controle de acesso no tem polticas de distribuio do controle de acesso, apenas as polticas
para autorizao.
Ainda na norma temos:
Convm que a poltica leve em considerao os seguintes itens:
(...)
c) poltica para disseminao e autorizao da informao, por exemplo, o princpio need to know e nveis de segurana e a
classificao das informaes
(...)
Portanto a questo est errada.
28) Privilgio qualquer caracterstica ou facilidade de um sistema de informao multiusurio que permita
ao usurio sobrepor controles do sistema ou aplicao. A concesso e uso de privilgios deve ser restrito e
controlado, e sua utilizao inadequada considerada fator de vulnerabilidade de sistemas.
A norma no item 11.2.2 Gerenciamento de privilgios (11 Controle de acesso):
Convm que a concesso e o uso de privilgios sejam restritos e controlados.
O item est correto. Ainda devemos aprender a noo de privilgio.
Privilgio qualquer caracterstica ou facilidade de um sistema de informao multiusurio que permita ao
usurio sobrepor controles do sistema ou aplicao.
29) As senhas fornecem um meio de validao da autoridade do usurio e o estabelecimento dos direitos de
acesso para os recursos ou servios de leitura da informao.
A norma fala que:
Senhas so um meio comum de verificar a identidade de um usurio antes que acessos sejam concedidos a um sistema de
informao ou servio de acordo com a autorizao do usurio. Outras tecnologias para identificao de usurio e autenticao,
como biomtrica, por exemplo, verificao de digitais, verificao de assinatura, e uso de tokens, por exemplo, e cartes
inteligentes, esto disponveis, e convm que sejam consideradas, se apropriado.
O professor Scrates Filho, ainda cita:
As senhas fazem apenas a validao ao acesso aos recursos ou servios de informao, mas o estabelecimento
dos direitos de acesso feito pelas polticas de autenticao do acesso, por meio de perfis. Portanto o item
est errado.
30) O controle de acesso rede busca assegurar o uso de interfaces apropriadas entre a rede da organizao
e as redes de outras organizaes ou redes pblicas e controlar o acesso dos usurios aos servios de
informao. Tambm busca utilizar mecanismos de autenticao apropriados para usurios e
equipamentos.
Quase o que est escrito no item 11.4 Controle de acesso rede (11 Controle de Acesso):
Objetivo: Prevenir acesso no autorizado aos servios de rede.
Convm que o acesso aos servios de rede internos e externos seja controlado.
Convm que os usurios com acesso s redes e aos servios de rede no comprometam a segurana desses servios, assegurando:
a) uso de interfaces apropriadas entre a rede da organizao e as redes de outras organizaes e redes pblicas;
b) uso de mecanismos de autenticao apropriados para os usurios e equipamentos;
c) controle de acesso compulsrio de usurios aos servios de informao.
Sendo assim a questo est correta.
31) Conexes externas que utilizam mtodos dial-up devem ser validados conforme o nvel estabelecido por
avaliaes de risco. Controles e procedimentos de discagem reversa, conhecidos por call forwarding,
expem e fragilizam a organizao, uma vez que utilizam dispositivos roteadores com discagem reversa e
levam o usurio a manter a linha aberta com a pretenso de que a verificao da chamada reversa tenha
ocorrido.
No item 11.4.2 Autenticao para conexo externa do usurio, temos:
Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem reversa, podem prover
proteo contra conexes no autorizadas e no desejadas nos recursos de processamento da informao de uma organizao.
Este tipo de controle autentica usurios que tentam estabelecer conexes com a rede de uma organizaes de localidades remotas.
Ao usar este controle, convm que uma organizao no use servios de rede que incluem transferncia de chamadas (forward} ou,
se eles fizerem, convm que seja desabilitado o uso de tais facilidades para evitar exposio a fragilidades associadas ao call
forward. Convm que o processo de discagem reversa assegure que uma desconexo atual no lado da organizao acontea. Caso
contrrio, o usurio remoto poderia reter aberta a linha simulando que a verificao do retorno da chamada (cal/ back) ocorreu.
Convm que os procedimentos e controles da discagem reversa sejam testados completamente para esta possibilidade.
A norma troca o termos de discagem reversa. Portanto o item est errado.
32) Os controles baseiam-se nos requisitos de segurana selecionados considerando-se as restries de
implementao, sua eficcia em relao aos riscos que sero reduzidos e s perdas potenciais, caso as falhas
na segurana ocorram. Pode-se, ainda, considerar fatores financeiros, como prejuzos reputao da
organizao.
Normalmente, no se consideram as restries de implementao na seleo dos controles. Em regra, se
consideram primeiro as perdas potenciais no caso de falhas e a eficcia dos controles em relao aos riscos
que eles combatem. Portanto a questo est errada.
Ento temos:

33) So exemplos de contedos que constam no documento de poltica da informao: conformidade com a
legislao e clusulas contratuais, requisitos na educao de segurana, gesto da continuidade do negcio
e regras para controle de acesso
Na 27002 podemos encontrar:
Convm que o documento da poltica de segurana da informao declare o comprometimento da direo e
estabelea o enfoque da organizao para gerenciar a segurana da informao. Convm que o documento
da poltica contenha declaraes relati vas a:
a) uma definio de segurana da informao, suas metas globais, escopo e importncia da segurana da
informao como um mecanismo que habilita o compartilhamento da informao (ver introduo);
b) uma declarao do comprometimento da direo, apoiando as metas e principies da segurana da
informao, alinhada com os objetivos e estratgias do negcio;
c) uma estrutura para estabelecer os objeti vos de controle e os controles, incluindo a estrutura de
anlise/avaliao e gerenciamento de risco;
d) breve explanao das polticas, principies, normas e requisitos de conformidade de segurana da
informao especficos para a organizao, incluindo:
1) conformidade com a legislao e com requisitos regulamentares e contratuais;
2) requisitos de conscientizao, treinamento e educao em segurana da informao;
3) gesto da continuidade do negcio;
4) conseqncias das violaes na poltica de segurana da informao;
e) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o
registro dos incidentes de segurana da informao;
f) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de
segurana mais detalhados de sistemas de informao especficos ou regras de segurana que os usurios
devem seguir.
Portanto o item est errado, porque no tem controle de acesso.
34) Convm que a poltica de segurana da informao tenha um patrocinador responsvel por sua
manuteno e anlise crtica e que esteja de acordo com um processo de submisso definido.
No item 5.1.2 Anlise crtica da poltica de segurana da informao, temos:
Convm que a poltica de segurana da informao tenha um gestor que tenha responsabilidade de gesto aprovada para
desenvolvimento, anlise crftica e avaliao da polltica de segurana da informao. Convm que a anlise crtica inclua a avaliao
de oportunidades para melhoria da politica de segurana da informao da organizao e tenha um enfoque para gerenciar a
segurana da informao em resposta s mudanas ao ambiente organizacional, s circunstncias do negcio, s condies legais,
ou ao ambiente tcnico.
Ainda podemos citar, o comentrio do professor Scrates Filho:
O patrocinador da PSI, que geralmente a alta direo no , necessariamente, a responsvel pela sua
manuteno e anlise crtica. Essa tarefa fica a cargo de um setor da organizao responsvel por isso.
Entretanto, a PSI, aps a reviso, deve ser aprovada pela alta direo.
35) Na reviso peridica da conformidade dos sistemas com as polticas e normas organizacionais de
segurana, devem-se incluir sistemas de informao, provedores de sistemas, proprietrios da informao,
ativos de informao, usurios e administrao.
No foi achado nenhuma bibliografia sobre este assunto, mas a questo est correta.
36) Controles de ambiente e software devem se corretamente implementados para que a validao da
conformidade tcnica e cientfica assegure que os sistemas de informao sejam verificados em
conformidade com as normas de segurana implementadas.
Usando o comentrio do professor Scrates Filho:
Nem sempre a implantao correta de um controle garante que as normas de segurana sejam seguidas, de
acordo com a PSI. Portanto o item est errado.
37) recomendvel que a poltica de segurana determine medidas especficas a serem implementadas e a
forma de implement-las.
A poltica de segurana s deve fazer um esboo das medidas a serem implementadas, sem indicar a forma
como elas sero implementadas. Questo errada.
A PSI no detalhada e possui somente diretrizes gerais.

(CESPE EMBASA 2010 Analista de Tecnologia da Informao atuao em
Banco de Dados)
38) Uma poltica de segurana da informao deve tratar dos aspectos humanos, culturais e tecnolgicos de
uma organizao, considerando tambm os processos e os negcios, alm da legislao pertinente. Com
base nessa poltica, as diversas normas e os vrios procedimentos devem ser criados.
Essa definio uma boa definio sobre o que um PSI deve tratar. A resposta esta correta.

39) Entre os benefcios vinculados implantao de poltica de segurana da informao em uma
organizao, esto a reduo na padronizao das informaes e processos, alm da garantia de se
assegurar vantagens competitivas.
Essa questo erra ao dizer que a implantao da PSI reduz. Sendo a verdade que a PSI AUMENTA na
padronizao das informaes e processos.
40) Para a administrao de uma poltica de segurana da informao, devero ser realizadas anlises de
vulnerabilidades, relatrios de incidentes, verificao e comprometimento do desempenho do sistema, bem
como verificao do apoio da direo, pois com base nessas anlises que sero tomadas as medidas
necessrias correo de falhas no sistema como um todo.
Mas uma daquelas questes que servem para aprender. O item est correto.
(CESPE MPU 2010 Analista de Informtica - Banco de Dados)
41) O termo integridade no escopo da referida norma diz respeito salvaguarda da exatido e integridade
das informaes e mtodos de processamento utilizados para a manipulao da informao.
Esta questo nos iremos tratar um termo que est definido na 27001.
Integridade - propriedade de salvaguarda da exatido e completeza de ativos
42) A referida norma, bem como suas atualizaes correntes, apresenta um cdigo de boas prticas para a
gesto de segurana da informao, portanto, adequada para usurios responsveis por iniciar,
implementar, manter e melhorar sistemas de gesto de segurana da informao.
Vamos colocar o objetivo que est previsto no item 1 Objetivo:
Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da
informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas
para a gesto da segurana da informao.
A questo est correta.
43) No que diz respeito aos aspectos de preservao da confidencialidade, a norma em apreo estabelece
prticas adequadas para garantir que a informao esteja acessvel a todas as pessoas interessadas em
acess-la.
A norma estabelece prtica para garantir que a informao esteja acessvel apenas s pessoas que tenham
permisso para acess-las.
Um hacker tambm uma pessoa interessada em acess-la. Portanto o item est errado.
44) A seo da norma em questo que trata de compliance prev aspectos para assegurar a conformidade
com polticas de segurana da informao, normas, leis e regulamentos.
No item 15.1 Conformidade com requisitos legais (15 Conformidade), temos:
Objetivo: Evitar violaes de quaisquer obrigaes legais, estatutrias, regulamentares ou contratuais, e de quaisquer requisitos de
segurana da informao.
45) A referida norma contm sees iniciais e doze sees principais acerca de diversos temas de segurana,
como, por exemplo, a gesto de ativos.
A estrutura da norma:
0 - Introduo
1 - Objetivo
2 - Termos e Definies
3 - Estrutura da Norma
4 - A/A e Tratamento de Riscos
5 - Politica de SI
6 - Organizando SI
7 - Gesto de Ativos
8 - Segurana em R
9 - Segurana Fisica e do Ambiente
10 - Gerenciamento das Operaes e Comunicaes
11 - Controle de Acesso
12 - Aquisio, Desenv. e Manuteno de SI
13 - Gesto de Incidentes
14 - Gesto da Continuidade de Negocio
15 Conformidade
Sendo da 4 a 15, doze sees, portanto a questo est correta.
(CESPE MPU 2010 Analista de Informtica - Perito)
46) Define-se vulnerabilidade em um ambiente computacional como a causa potencial de ocorrer um
incidente indesejado, a qual pode resultar, ou no, em prejuzos para uma organizao e seus ativos.
Vamos pegar as definies encontradas da 27002:
Ameaa - causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao.
Vulnerabilidade - fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas
Portanto a questo est errada, ela troca ameaa por vulnerabilidade.
VULNERABILIDADE -> FRAGILIDADE -> EXPLORADA POR AMEAAS
AMEAA -> CAUSA PONTECIAL DE INCIDENTE -> PODER RESULTAR EM DANO
47) A adoo de senhas de qualidade por parte dos usurios so recomendaes para implantar uma
poltica de uso de chaves e senhas. Alguns aspectos, citados na norma, caractersticos de senhas de
qualidade so senhas fceis de serem lembradas, que no sejam vulnerveis a ataques de dicionrio e que
sejam isentas de caracteres idnticos consecutivos.
No item 11.3.1 Uso de senhas, temos:
Controle
Convm que os usurios sejam solicitados a seguir as boas prticas de segurana da informao na seleo e uso de senhas.
Convm que todos os usurios sejam informados para:
a) manter a confidencialidade das senhas;
b) evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos mveis), a menos que elas possam ser
armazenadas de forma segura e o mtodo de armazenamento esteja aprovado;
c) alterar senha sempre que existir qualquer indicao de possvel comprometimento do sistema ou da prpria senha;
d) selecionar senhas de qualidade com um tamanho mnimo que sejam:
1) fceis de lembrar;
2) no baseadas em nada que algum facilmente possa adivinhar ou obter usando informaes relativas pessoa, por
exemplo, nomes, nmeros de telefone e datas de aniversrio;
3) no vulnerveis a ataque de dicionrio (por exemplo, no consistir em palavras inclusas no dicionrio);
4) isentas de caracteres idnticos consecutivos, todos numricos ou todos alfabticos sucessivos;
e) modificar senhas regularmente ou com base no nmero de acessos (convm que senhas de acesso a contas privilegiadas sejam
modificadas mais freqUentemente que senhas normais) e evitar a reutilizao ou reutilizao do ciclo de senhas antigas;
f) modificar senhas temporrias no primeiro acesso ao sistema;
g) no incluir senhas em nenhum processo automtico de acesso ao sistema, por exemplo, armazenadas em um macro ou funes-
chave;
h) no compartilhar senhas de usurios individuais;
i) no utilizar a mesma senha para uso com finalidades profissionais e pessoais.
Se os usurios necessitam acessar mltiplos servios, sistemas ou plataformas, e forem requeridos para manter separadamente
mltiplas senhas, convm que eles sejam alertados para usar uma nica senha de qualidade (ver d) acima) para todos os servios,
j que o usurio estar assegurado de que um razovel nvel de proteo foi estabelecido para o armazenamento da senha em cada
servio, sistema ou plataforma.
Portanto a questo est correto.
48) Estimar a probabilidade de uma ameaa se concretizar dentro do ambiente computacional e identificar
os impactos que um evento de segurana pode acarretar so atividades resultantes da anlise/avaliao de
riscos.
Na 27002 temos o item 14.1.2 Continuidade de negcios e anlise/avaliao de riscos:
Convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais
interrupes e as conseqncias para a segurana de informao.
49) Controle , segundo essa norma, qualquer sistema de processamento da informao, servio ou
infraestrutura, ou as instalaes fsicas que os abriguem.
Usando a definio da norma:
Controle - forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que
podem ser de natureza administrativa, tcnica, de gesto ou legal
NOTA Controle tambm usado como um sinnimo para proteo ou contramedida.
Portanto questo correta.
50) Uma das recomendaes adequadas para a gesto de ativos que o requisito de rotulao e tratamento
seguro da classificao da informao fundamental para que sejam definidos os procedimentos de
compartilhamento da informao, seja ela interna ou externa organizao.
Temos no item 7.2.2 Rtulos e tratamento da informao:
Convm que um conjunto apropriado de procedimentos para rotulao e tratamento da informao seja definido e implementado
de acordo com o esquema de classificao adotado pela organizao.
Questo certa.
51) Com o objetivo de otimizar o uso de um ambiente de desenvolvimento de software quanto aos
procedimentos e responsabilidades operacionais relativos ao gerenciamento das operaes e das
comunicaes, uma organizao deve garantir que software em desenvolvimento e software em produo
partilhem de sistemas e processadores em um mesmo domnio ou diretrio, de modo a garantir que os
testes sejam compatveis com os resultados esperados no mundo real.
Nesta questo podemos citar somente um item da norma. 10.1.4 Separao dos recursos de desenvolvimento,
teste e de produo.
Convm que recursos de desenvolvimento, teste e produo sejam separados para reduzir o risco de acessos ou modificaes no
autorizadas aos sistemas operacionais.
Portanto a questo est errada. Normalmente quando as questes falam de juntar, partilhar, etc, estas
questes esto erradas. A norma prega muito em segregao de funes e atividades para reduizer riscos e
ameaas.
(CESPE TRE/MT 2009 Analista Judicirio Anlise de sistemas)
52) Com referncia segurana da informao, assinale a opo correta.
A) A confidencialidade tem a ver com salvaguardar a exatido e a inteireza das informaes e mtodos de
processamento. Para tanto, necessrio que os processos de gesto de riscos identifiquem, controlem,
minimizem ou eliminem os riscos de segurana que podem afetar sistemas de informaes, a um custo
aceitvel.
B) A poltica de segurana da informao um conjunto de prticas conhecidas pelo nvel operacional de
uma organizao que busca estabelecer uma direo tcnica clara que demonstre suporte e
comprometimento com a segurana das informaes.
C) A segurana fsica objetiva impedir acesso no autorizado, danos ou interferncia s instalaes fsicas e
s informaes da organizao. A proteo fornecida deve ser compatvel com os riscos identificados,
assegurando a preservao da confidencialidade da informao.
D) Define-se gesto de riscos de segurana da informao como a avaliao das ameaas e das facilidades de
processamento, impactos e vulnerabilidades das informaes e da probabilidade de ocorrncia de tais
riscos.
E) Servios de no repudiao so tcnicas utilizadas para detectar alteraes no autorizadas ou
corrompimento dos contedos de uma mensagem transmitida eletronicamente.
A) Este item trocou integralidade por confidencialidade.
B) A PSI um conjunto de prticas conhecido por TODA a organizao e no somente pelo nvel operacional.
C) Item correto. Vamos ler ele de novo para fixa-lo
A segurana fsica objetiva impedir acesso no autorizado, danos ou interferncia s instalaes fsicas e s
informaes da organizao. A proteo fornecida deve ser compatvel com os riscos identificados,
assegurando a preservao da confidencialidade da informao.
Na norma temos:
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao.
Convm que as instalaes de processamento da informao crticas ou sensveis sejam mantidas em reas seguras, protegidas por
permetros de segurana definidos, com barreiras de segurana e controles de acesso apropriados. Convm que sejam fisicamente
protegidas contra o acesso no autorizado, danos e interferncias.
Convm que a proteo oferecida seja compatvel com os riscos identificados.
Os itens D e E esto errados.
53) Com relao ISO 27002, assinale a opo correta.
A) Aps identificar os requisitos de segurana da informao e os riscos a que uma organizao est
exposta, convm que controles apropriados sejam selecionados e implementados para assegurar que os
riscos sejam reduzidos a um nvel aceitvel, pois, segundo a norma, por meio do controle gerencia-se o
risco.
B) A segurana da informao objetiva a preservao da confidencialidade, integridade e disponibilidade da
informao. Cada categoria principal de segurana da informao contm um ou mais objetivos de controle
que definem o que deve ser alcanado, alm de um controle que pode ser aplicado para que os objetivos
sejam alcanados.
C) Considera-se ativo tudo que tenha valor para a organizao. So exemplos de ativos de informao os
aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios.
D) Diretriz a descrio que orienta o que deve ser feito e como deve ser feito, de modo a se alcanar os
objetivos estabelecidos. Quanto s diretrizes para comrcio eletrnico da norma em questo, as
consideraes podem ser implementadas pela aplicao de controles criptogrficos de chave assimtrica,
no sendo recomendada a utilizao de chaves simtricas.
E) A referida norma recomenda o desenvolvimento e a implementao de uma poltica para avaliao e uso
de controles criptogrficos que, em conjunto com a anlise e avaliao de riscos, so aes independentes
que auxiliam na escolha dos controles de modo mais amplo.
A) Esse o item certo. Vamos reler:
Aps identificar os requisitos de segurana da informao e os riscos a que uma organizao est exposta,
convm que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam
reduzidos a um nvel aceitvel, pois, segundo a norma, por meio do controle gerencia-se o risco.
B) Para este item podemos colocar o Item 3.2 Principais categorias de segurana da informao.
Cada categoria principal de segurana da informao contm:
a) um objetivo de controle que define o que deve ser alcanado;
b) um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle.
C) O item est errado. Vamos colocar as definies da norma:
c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis e
outros equipamentos;
refrigerao;
D) A questo erra ao dizer que no recomendado o uso de chaves simtricas. A 27002 no fala dessa
recomendao.
E) Usando o comentrio do Scrates Filho:
A ISO 27002 preconiza que a implementao de polticas ligadas mecanismos segurana da informao deve
ser realizada aps a avaliao dos riscos que a organizao est sujeita. Dessa forma, no correto dizer que a
implementao de poltica de avaliao de controles criptogrficos uma ao independente da avaliao de
risco.
54) Em relao s orientaes da norma ISO 27002 quanto criptografia, assinale a opo correta.
A) Controles criptogrficos garantem a confidencialidade por meio da utilizao de assinaturas digitais ou
cdigos de autenticao de mensagens (MAC), que protegem a autenticidade, originalidade, presteza e
integridade de informaes sensveis ou crticas, armazenadas ou transmitidas.
B) No repdio refere-se utilizao de tcnicas de criptografia para obter prova da ocorrncia ou no de
um evento ou ao.
C) Tcnicas criptogrficas no podem ser utilizadas para proteger chaves criptogrficas, pois existe sempre a
ameaa de que seja forjada uma assinatura digital pela substituio da chave privada do usurio, em caso de
utilizao de criptografia simtrica.
D) Datas de ativao e desativao de chaves devem ser definidas sem restries de tempo e independentes
das avaliaes de risco.
E) Alm do gerenciamento seguro de chaves secretas e privadas, o processo de autenticao deve ser
conduzido obrigatoriamente utilizando-se certificados de chave privada emitidos por autoridades
certificadoras.
Usando os comentrios do professor Scrates Filho:
A) A confidencialidade garantida por meio da utilizao de algoritmos de criptografia. Assinaturas digitais e
cdigos MAC garantem a integridade.
C) Totalmente errado. lgico que tcnicas criptogrficas podem ser usadas para proteger chaves
criptogrficas.
D) Datas de ativao e desativao de chaves devem ter data (prazo de validade). Portanto item errado.
E) Mas uma vez vamos repetir. A 27002 no faz obrigaes, apenas recomendaes.
(CESPE TRE/MT 2009 Tcnico Judicirio Operao de computadores)
52) Com relao a cpias de segurana, assinale a opo correta.
A) As cpias de segurana, juntamente com o controle consistente e atualizado dessas cpias e a
documentao dos procedimentos de recuperao, devem ser mantidas no mesmo local da instalao
principal, em local suficientemente prximo para sua imediata recuperao em caso de falha.
B) Trs geraes, ou ciclos, de cpias de segurana das aplicaes crticas a quantidade mnima
recomendada que deve ser mantida em local seguro (ambiente de backup) com os mesmos controles
adotados para as mdias no ambiente principal.
C) As mdias utilizadas para cpias no precisam ser periodicamente testadas, pois so usadas somente em
caso de falha.
D) Uma vez aprovados, os procedimentos de recuperao no devem ser modificados nem verificados
periodicamente; a segurana do procedimento inicialmente acordada no ser violada.
E) Segurana da informao obtida a partir da implementao de uma srie de controles que podem ser
polticos, prticos, procedimentos, estruturas organizacionais e funes de software, sendo caracterizada
pela preservao da continuidade, confiabilidade e criptografia dos dados.
A) A norma diz que as cpias devem ser mantidas em local diferente da instalao, portanto item errado.
Vejamos:
As cpias de segurana sejam armazenadas em uma localidade remota, a uma distncia suficiente para escapar dos danos de um
desastre ocorrido no local principal;
B) No foi encontrado nada na norma fala que fala em trs ciclos, porm este o gabarito.
C) Item errado. Vejamos a norma:
Convm que as copias de segurana das informaes e dos softwares sejam efetuadas e testadas regularmente conforme a poltica
de gerao de cpias de segurana definida.
D) Item errado, os procedimentos de recuperao devem ser modificados e verificados oportunamente.
Os procedimentos de recuperao sejam verificados e testados regularmente, de forma a garantir que estes so efetivos e que
podem ser concluldos dentro dos prazos definidos nos procedimentos operacionais de recuperao;
E) Usando o comentrio do professor Scrates.
Segurana da informao caracterizada pela preservao da confidencialidade, integridade e disponibilidade
dos dados, com objetivo de garantir a continuidade do negcio e minimizar os seus riscos. Portanto item
errado.
Usando a norma temos, no item 0.1 O que segurana da informao:
A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas,
processos, procedimentos, estruturas organizacionais e funes de software e hardware.

53) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Na prtica, os padres 27001 e 27002
normalmente so usados em conjunto, embora seja possvel o uso de outros controles de segurana da
informao juntamente com o padro 27001, at mesmo em substituio ao padro 27002.
Usando comentrio do professor Gleyson.
No item 4.2.1 g), a norma 27001 afirma que os controles listados no Anexo A, que contm em resumo todos os
controles da norma 27002, no so exaustivos, podendo ser selecionados objetivos de controle e controles
adicionais. Portanto a questo est correta.
54) (ANAC/Analista Administrativo/Tecnologia da Informao/2009) Um evento de segurana de
informao uma ocorrncia em um sistema, servio ou estado de rede que indica, entre outras
possibilidades, um possvel desvio em relao aos objetivos de segurana especficos da organizao, e um
incidente de segurana de informao um evento nico ou uma srie de eventos indesejados de segurana
da informao que possuem um impacto mediano sobre os negcios.
Usando as definies da 27002:
Um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao
indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a
Evento de segurana da informao - ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da
poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante
para a segurana da informao.
Portanto a questo erra ao dizer em impacto mediano.
55) (TRT-21/Analista Judicirio/Tecnologia da Informao/2010) Incidente de segurana da informao
uma ocorrncia identificada de um sistema, servio ou rede que indica uma possvel violao da poltica de
segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser
relevante para a segurana da informao.
Um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao
indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a
Evento de segurana da informao - ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da
poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante
para a segurana da informao.
Mas uma vez, questo errada. Trocou evento de SI por incidente de SI.
56) Testes de mesa, testes de recuperao em local alternativo e ensaio geral so tcnicas que podem ser
empregadas na gesto da continuidade de negcios, conforme prescrio na norma ABNT NBR ISO/IEC
17799:2005.
Na 27002, 14.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio, temos:
Convm que vrias tcnicas sejam utilizadas, de modo a assegurar a confiana de que o(s) plano(s) ir(o) operar consistentemente
em casos reais. Convm que sejam considerados:
a) testes de mesa simulando diferentes cenrios (verbalizando os procedimentos de recuperao para diferentes formas
de interrupo);
b) simulaes (particularmente til para o treinamento do pessoal nas suas atividades gerenciais aps o incidente);
c) testes de recuperao tcnica (garantindo que os sistemas de informao possam ser efetivamente recuperados);
d) testes de recuperao em um local alternativo (executando os processos de negcios em paralelo com a recuperao
das operaes distantes do local principal);
e) testes dos recursos, servios e instalaes de fornecedores (assegurando que os servios e produtos fornecidos por
terceiros atendem aos requisitos contratados);
f) ensaio geral (testando se a organizao, o pessoal, os equipamentos, os recursos e os processos podem enfrentar
interrupes).
57) (TJ-ES/Analista Judicirio/Anlise de Suporte/2011) Na rea de segurana da informao, esto
excludas do conceito de controle as polticas, as diretrizes, as prticas ou a prpria estrutura
organizacional, que so consideradas contramedidas ou aes de preveno.
Na 27002, podemos encontrar a definio de controle:
Controle - forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que
podem ser de natureza administrativa, tcnica, de gesto ou legal.
NOTA Controle tambm usado como um sinnimo para proteo ou contramedida.

58) (TCU/Auditor Federal de Controle Externo/Tecnologia da Informao/2010) Os requisitos do negcio
para o processamento de informao, que uma organizao tem de desenvolver para apoiar suas
operaes, esto entre as fontes principais de requisitos de segurana da informao.
Segundo a norma, as fontes principais so:
essencial que uma organizao identifique os seus requisitos de segurana da informao.
Existem trs fontes principais de requisitos de segurana da informao.
1. Uma fonte obtida a partir da anlise/avaliao de riscos para a organizao, levando-se em conta os objetivos e as estratgias
globais de negcio da organizao. Por meio da anlise/avaliao de riscos, so identificadas as ameaas aos ativos e as
vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao
negcio.
2. Uma outra fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seus
parceiros comerciais, contratados e provedores de servio tm que atender, alm do seu ambiente sociocultural.
3. A terceira fonte um conjunto particular de princpios, objetivos e os requisitos do negcio para o processamento da informao
que uma organizao tem que desenvolver para apoiar suas operaes.
59) (MPU/Analista de Informtica/Perito/2010) Os principais fatores crticos de sucesso apresentados na
referida norma incluem poltica de segurana, abordagem e estrutura da segurana consistente com a
cultura organizacional, comprometimento de todos os nveis gerenciais, entendimento dos requisitos de
segurana e divulgao da segurana.
A norma cita os fatores crticos de sucesso:
A experincia tem mostrado que os seguintes fatores so geralmente crticos para o sucesso da implementao da segurana da
informao dentro de uma organizao:

a) poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos do negcio;
b) uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao
que seja consistente com a cultura organizacional;
c) comprometimento e apoio visvel de todos os nveis gerenciais;
d) um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da gesto de risco;
e) divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar
a conscientizao;
f) distribuio de diretrizes e normas sobre a poltica de segurana da informao para lodos os gerentes, funcionrios e outras
partes envolvidas;
g) proviso de recursos financeiros para as atividades da gesto de segurana da informao;
h) proviso de conscientizao, treinamento e educao adequados;
i) estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao;
j) implementao de um sistema de medio 1, que seja usado para avaliar o desempenho da gesto da segurana da informao e
obteno de sugestes para a melhoria.
60) (TRE-ES/Analista Judicirio/Anlise de Sistemas/2011) O documento relativo poltica de segurana da
informao deve ser aprovado pela direo da empresa, publicado e comunicado a todos os
funcionrios e s partes externas relevantes.
Nesta questo podemos usar o comentrio do professor Gleyson Azevedo:
A afirmativa da questo bastante similar descrio do controle 5.1.1, relativo ao documento da poltica de
segurana da informao (ABNT, 2005, p. 8). A nica distino entre ambos que a norma traz o controle
como uma sugesto, na forma: Convm que um documento da poltica de segurana da informao seja
aprovado..., enquanto na questo utilizado o verbo dever, como se o controle descrito fosse uma
imposio. Cabe observar que o texto da questo exatamente o mesmo trazido na descrio do controle
5.1.1 no anexo A da norma 27001 (ABNT, 2006, p. 14) e que em diversas outras questes o CESPE considera
como corretas afirmativas que contm descries de controles a partir do anexo A da 27001, onde o verbo
dever sempre empregado.
61) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Uma poltica de segurana eficaz
parte da premissa do uso efetivo de um conjunto de ferramentas de segurana, como firewalls, sistemas
de deteco de intrusos, validadores de senha e criptografia forte.
Vamos mais uma vez usar o comentrio do professor Gleyson Azevedo:
A eficcia da poltica de segurana, bem como sua pertinncia e adequao, no est associada utilizao de
ferramentas especficas, mas a um processo de constante avaliao e implementao de ajustes,
fundamentados na realizao de anlises crticas a intervalos planejados ou quando mudanas significativas
ocorrerem (ABNT, 2005, p. 9).
62) (BASA/Tcnico Cientfico/Tecnologia da Informao/Segurana da Informao/2009) So exemplos de
ativos de uma organizao a informao e os processos de apoio, sistemas e redes. Os requisitos de
segurana, em uma organizao, so identificados por meio de anlise sistemtica dos riscos de
segurana.
Vamos citar o item 7.1.1 Inventrio dos ativos da 27002:
c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis outros equipamentos;
refrigerao;
Os inventrios de ativos ajudam a assegurar que a proteo efetiva do ativo pode ser feita e tambm pode ser requerido para
outras finalidades do negcio, como sade e segurana, seguro ou financeira (gesto de ativos).
O processo de compilao de um inventrio de ativos um pr-requisito importante no gerenciamento de riscos (ver seo 4 ).
A segundo afirmao da questo podemos tambm pegar da norma:

A questo est correta.
63) (BASA/Tcnico Cientfico/Tecnologia da Informao/Segurana da Informao/2009) Uma organizao
deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importncias e indicar
um proprietrio responsvel por eles. A informao deve ser classificada em termos de sua utilidade,
adequabilidade e nvel de segurana.
Provavelmente esta questo repetida, mas importante, ento vamos l:
Convm que classificao da informao se d em termos do seu valor, requisitos legais, sensibilidade e criticidade.

64) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Um arquivo de texto, uma IDE para
desenvolvimento em linguagem C e um pendrive so classificados como ativos de software, de servio e
fsico, respectivamente.
Mais uma questo sobre classificao de ativo, cita a norma:
c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis outros equipamentos;
refrigerao;
Questo errada.
(TRT-21/Analista Judicirio/Tecnologia da Informao/2010) O objetivo de controle Controles de Entrada
Fsica estabelece que permetros de segurana (barreiras, como paredes, portes de entrada controlados
por carto ou balces de recepo com recepcionistas) devem ser utilizados para proteger as reas que
contenham informaes e recursos de processamento da informao.
O professor Gleyson fez um belo comentrio sobre essa questo:
Controle de entrada fsica no objetivo de controle e sim um controle da norma 27002 (9.1.2). Alm do mais,
a descrio dada na questo diz respeito ao controle 9.1.1 da referida norma, que trata de permetros de
segurana fsica (ABNT, 2005, pp. 32-33).
Vamos norma:
9.1.1 Permetro de segurana fsica
Controle
Convm que sejam utilizados permetros de segurana (barreiras tais como paredes, portes de entrada controlados por carto ou
balces de recepo com recepcionistas) para proteger as reas que contenham informaes e instalaes de processamento da
informao.
9.1.2 Controles de entrada fsica
Controle
Convm que as reas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas
autorizadas tenham acesso.
Portanto o item est errado.
65) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Alcanar e manter a proteo
adequada dos ativos da organizao um objetivo de controle estabelecido na norma NBR/ISO/IEC
27001/2006. Associado a esse objetivo, h o controle relativo remoo de propriedade, o qual
determina que um ativo no mais utilizado por um proprietrio dever ser dele desvinculado.
Vamos norma:
7.1 Responsabilidade pelos ativos
Objetivo: Alcanar e manter a proteo adequada dos ativos da organizao.
Convm que todos os ativos sejam inventariados e tenham um proprietrio responsvel.
Convm que os proprietrios dos ativos sejam identificados e a eles seja atribuda a responsabilidade pela manuteno
apropriada dos controles. A implementao de controles especficos pode ser delegada pelo proprietrio, conforme
apropriado, porm o proprietrio permanece responsvel pela proteo adequada dos ativos.
Portanto a questo est errada. O Objetivo de controle o 7.1 Responsabilidade pelos ativos.
E a segunda parte tambm est errada, porque a remoo de propriedade est no objetivo de controle 9.2
Segurana de equipamentos.
66) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Registros ou logs de auditoria podem
conter dados pessoais confidenciais e de intrusos; por isso, importante que medidas de proteo
adequadas sejam tomadas, como, por exemplo, no permitir, quando possvel, que administradores de
sistemas no tenham permisso de excluso ou desativao de registros de suas prprias atividades.
Temos que ir a norma no item 10.10.1 Registros de auditoria:
lnformaes adicionais
Os registros (/og) de auditoria podem conter dados pessoais confidenciais e de intrusos. Convm que medidas apropriadas de
proteo de privacidade sejam tomadas (ver 15.1.4). Quando possvel, convm que administradores de sistemas no tenham
permisso de excluso ou desativao dos registros (log) de suas prprias atividades (ver 1 0.1.3).
A questo erra, nesta parte:no permitir, quando possvel, que administradores de sistemas no tenham
permisso.
So duas negaes, tornando a questo errada.
(TRT-21/Analista Judicirio/Tecnologia da Informao/2010) O objetivo de controle Anlise Crtica dos
Direitos de Acesso de Usurio estabelece que deve existir um procedimento formal de registro e
cancelamento de usurio para garantir e revogar acessos em todos os sistemas de informao e servios.
Usando o comentrio do professor Gleyson:
A anlise crtica dos direitos de acesso de usurio o controle 11.2.4 da norma 27002 e no um objetivo de controle. Alm disso, a
descrio presente na questo diz respeito ao controle 11.2.1, que trata do registro de usurio (ABNT, 2005, p. 66).
Vamos ler a norma:
11.2.4 Anlise crtica dos direitos de acesso da usurio
Controle
Convm que o gestor conduza a intervalos regulares a anlise critica dos direitos de acesso dos usurios, por meio de um processo
formal.
11.2.1 Registro de usurio
Controle
Convm que exista um procedimento formal de registro e cancelamento de usurio para garantir e revogar acessos em todos os
sistemas de informao e servios.
67) (TRE-ES/Analista Judicirio/Anlise de Sistemas/2011) As aes que minimizam o risco de vazamento de
informaes mediante o uso e a explorao de covert channels incluem a varredura do envio de mdias e
comunicaes, para verificao da presena de informao oculta; o mascaramento e a modulao do
comportamento dos sistemas e das comunicaes, a fim de evitar que terceiros subtraiam informaes
dos sistemas; e o monitoramento regular do uso dos recursos computacionais e das atividades do
pessoal.
No controle 12.5.4 Vazamento de informaes:
Controle
Convm que oportunidades para vazamento de informaes sejam prevenidas.
Convm que os seguintes itens sejam considerados, para limitar o risco de vazamento de informaes, por exemplo atravs do uso
e explorao de covert channels:
a) a varredura do envio de mdia e comunicaes para verificar a presena de informao oculta;
b) o mascaramento e a modulao do comportamento dos sistemas e das comunicaes para reduzir a possibilidade de terceiros
deduzirem informaes a partir do comportamento dos sistemas;
c) a utilizao de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando produtos avaliados (ver
ISO/IEC 15408);
d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislao ou regulamentao vigente;
e) o monitoramento do uso de recursos de sistemas de computao.
Os covert channels so caminhos no previstos para conduzir fluxo de informaes, mas que no entanto podem existir num
sistema ou rede. Por exemplo, a manipulao de bits no protocolo de pacotes de comunicao poderia ser utilizada como um
mtodo oculto de sinalizao. Devido sua natureza, seria difcil, se no impossvel, precaver-se contra a existncia de todos os
possveis covert channels. No entanto, a explorao destes canais freqentemente realizada por cdigo troiano (ver 1 0.4.1 ). A
adoo de medidas de proteo contra cdigo troiano reduz, conseqentemente, o risco de explorao de covert channes.
A precauo contra acesso no autorizado rede (ver 11.4 ), como tambm polticas e procedimentos para dissuadir o mau uso de
servios de informao pelo pessoal (ver 15.1.5), pode ajudar a proteger contra covert channels.
68) (ABIN/Oficial Tcnico de Inteligncia/Suporte a Rede de Dados/2010) Funcionrios, fornecedores e
terceiros devem ser instrudos a averiguar, imediatamente, qualquer fragilidade na segurana de
informao suspeita.
Na 27002, no controle 13.1.2 Notificando fragilidades de segurana da informao temos:
Convm que os funcionrios, fornecedores e terceiros sejam alertados para no tentarem averiguar uma fragilidade de segurana
da informao suspeita. Testar fragilidades pode ser interpretado como um uso imprprio potencial do sistema e tambm pode
causar danos ao sistema ou servio de informao, resultando em responsabilidade legal ao indivduo que efetuar o teste.
69) (CESPE - 2012 - TRE-RJ - Analista Judicirio - Anlise de Sistemas) Na gesto de ativos, conveniente que
todos os ativos sejam inventariados e tenham proprietrio responsvel.
No item 7.1 Responsabilidade pelos ativos (7 Gesto de ativos)
Convm que todos os ativos sejam inventariados e tenham um proprietrio responsvel.
Portanto questo certa.

Quest Esco Men Tad As I So 27002

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Quest Esco Men Tad As I So 27002

Enviado por

Direitos autorais:

Formatos disponíveis

0

Você também pode gostar