exame simulado

ISFS.PR

Fundamentos da Segurana da Informao

baseados na norma ISO/IEC 27002
Edio 2010

contedo
2
introduo
3
exame simulado
14
gabarito de respostas
34
avaliao

EXIN International B.V.

Examination Institute for Information Science
Janssoenborch, Hoog Catharijne
Godebaldkwartier 365, 3511 DT Utrecht
P.O. Box 19147, 3501 DC Utrecht
The Netherlands
Telephone +31 30 234 48 25
Fax +31 30 231 59 86
E-mail info@exin.nl
Internet www.exin-exams.com

Introduo
Este um exemplo de exame de Fundamentos da Segurana da Informao baseados na norma
ISO/IEC 27002.
Este exemplo de exame consiste de 40 questes de mltipla escolha. Cada questo tem um
nmero de possveis respostas, das quais somente uma resposta a correta.
O nmero mximo de pontos que podem ser obtidos nesse exame 40. Cada resposta correta tem
o valor de um ponto. Se voc obtiver 26 pontos ou mais ser considerado aprovado.
O tempo permitido para o exame de 60 minutos.
Nenhum direito ser derivado desta informao.
Boa sorte!

Copyright 2010 EXIN

All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print,
photo print, microfilm or any other means without written permission by EXIN.

EXIN, VB_ISFS.PR

2/34

Exame simulado

1 de 40

Voc recebeu do seu contador uma cpia da sua declarao fiscal e deve verificar se os dados
esto corretos.
Qual caracterstica de confiabilidade da informao que voc est verificando?
A. Disponibilidade
B. Exclusividade
C. Integridade
D. Confidencialidade
2 de 40
A fim de ter uma aplice de seguro de incndio, o departamento administrativo deve determinar o
valor dos dados que ele gerencia.
Qual fator no importante para determinar o valor de dados para uma organizao?
A. O contedo dos dados.
B. O grau em que a falta, dados incompletos ou incorretos podem ser recuperados.
C. A indispensabilidade dos dados para os processos de negcio.
D. importncia dos processos de negcios que fazem uso dos dados.
3 de 40
Nosso acesso informao cada vez mais fcil. Ainda assim, a informao tem de ser confivel,
a fim de ser utilizvel.
O que no um aspecto de confiabilidade da informao?
A. Disponibilidade
B. Integridade
C. Quantidade
D. Confidencialidade

EXIN, VB_ISFS.PR

3/34

4 de 40
"Completeza" faz parte de qual aspecto de confiabilidade da informao?
A. Disponibilidade
B. Exclusividade
C. Integridade
D. Confidencialidade
5 de 40
Um departamento administrativo vai determinar os perigos aos quais est exposto.
O que chamamos de um possvel evento que pode ter um efeito perturbador sobre a
confiabilidade da informao?
A. Dependncia
B. Ameaa
C. Vulnerabilidade
D. Risco
6 de 40
Qual o propsito do gerenciamento de risco?
A. Determinar a probabilidade de que um certo risco ocorrer.
B. Determinar os danos causados por possveis incidentes de segurana.
C. Delinear as ameaas a que esto expostos os recursos de TI.
D. Utilizar medidas para reduzir os riscos para um nvel aceitvel.
7 de 40
Qual das afirmaes sobre a anlise de risco a correta?
1. Riscos que so apresentados em uma anlise de risco podem ser classificados.
2. Numa anlise de risco todos os detalhes tm que ser considerados.
3. A anlise de risco limita-se disponibilidade.
4. A anlise de risco simples de efetuar atravs do preenchimento de um pequeno questionrio
padro com perguntas padro.
A. 1
B. 2
C. 3
D. 4

EXIN, VB_ISFS.PR

4/34

8 de 40
Qual dos exemplos abaixo pode ser classificado como fraude?
1. Infectar um computador com um vrus.
2. Realizao de uma operao no autorizada.
3. Divulgao de linhas de comunicao e redes.
4. Utilizao da Internet no trabalho para fins privados.
A. 1
B. 2
C. 3
D. 4
9 de 40
Um risco possvel para uma empresa dano por incndio. Se essa ameaa ocorre, isto , se um
incndio na verdade eclode, danos diretos e indiretos podem ocorrer.
O que um exemplo de prejuzo direto?
A. Um banco de dados destrudo
B. Perda de imagem
C. Perda de confiana do cliente
D. Obrigaes legais no podem mais ser satisfeitas
10 de 40
A fim de reduzir os riscos, uma empresa decide optar por uma estratgia de um conjunto de
medidas. Uma das medidas que um acordo stand-by organizado para a empresa.
A que tipo de medidas um acordo stand-by pertence?
A. Medidas corretivas
B. Medidas detectivas
C. Medidas preventivas
D. Medidas repressivas

EXIN, VB_ISFS.PR

5/34

11 de 40
O que um exemplo de uma ameaa humana?
A. Um pen drive que passa vrus para a rede.
B. Muito p na sala do servidor.
C. Um vazamento que causa uma falha no fornecimento de eletricidade.
12 de 40
O que um exemplo de uma ameaa humana?
A. Um apago
B. Fogo
C. Phishing
13 de 40
A confiabilidade constantemente ameaada. Exemplos de ameaas so: um cabo se soltar, a
informao que algum altera por acidente, dados que so usados para fins particulares ou
falsificados.
Qual destes exemplos uma ameaa confidencialidade?
A. Um cabo solto
B. Excluso acidental de dados
C. Utilizao privada de dados
D. Falsificao de dados
14 de 40
Um empregado nega o envio de uma mensagem especfica.
Qual o aspecto de confiabilidade da informao est em perigo aqui?
A. Disponibilidade
B. Exatido
C. Integridade
D. Confidencialidade

EXIN, VB_ISFS.PR

6/34

15 de 40
No ciclo de incidente h quatro etapas sucessivas.
Qual a ordem dessas etapas?
A. Ameaa, Dano, Incidente, Recuperao
B. Ameaa, Incidente, Dano, Recuperao
C. Incidente, Ameaa, Dano, Recuperao
D. Incidente, Recuperao, Dano, Ameaa
16 de 40
Um incndio interrompe os trabalhos da filial de uma empresa de seguros de sade. Os
funcionrios so transferidos para escritrios vizinhos para continuar seu trabalho.
No ciclo de vida do incidente, onde so encontrados os arranjos de continuidade?
A. Entre a ameaa e o incidente
B. Entre a recuperao e a ameaa
C. Entre o dano e a recuperao
D. Entre o incidente e os danos
17 de 40
Como melhor descrito o objetivo da poltica de segurana da informao?
A. A poltica documenta a anlise de riscos e a busca de medidas de contorno.
B. A poltica fornece orientao e apoio gesto em matria de segurana da informao.
C. A poltica torna o plano de segurana concreto, fornecendo-lhe os detalhes necessrios.
D. A poltica fornece percepes sobre as ameaas e as possveis consequncias.
18 de 40
O cdigo de conduta para os negcios eletrnicos (e-business) baseado em uma srie de
princpios.
Quais dos seguintes princpios no pertencem?
A. Confiabilidade
B. Registro
C. Confidencialidade e privacidade

EXIN, VB_ISFS.PR

7/34

19 de 40
Um trabalhador da companhia de seguros Euregio descobre que a data de validade de uma
poltica foi alterada sem seu conhecimento. Ela a nica pessoa autorizada a fazer isso. Ela relata
este incidente de segurana ao Helpdesk. O atendente do help desk registra as seguintes
informaes sobre este incidente:
data e hora
descrio do incidente
possveis conseqncias do incidente
Que informao importante sobre o incidente est faltando aqui?
A. O nome da pessoa que denunciou o incidente
B. O nome do pacote de software
C. O nmero do PC
D. Uma lista de pessoas que foram informadas sobre o incidente
20 de 40
Uma empresa experimenta os seguintes incidentes:
1. Um alarme de incndio no funciona.
2. A rede invadida.
3. Algum finge ser um membro do quadro de pessoal.
4. Um arquivo no computador no pode ser convertido em um arquivo PDF.
Qual destes incidentes no um incidente de segurana?
A. 1
B. 2
C. 3
D. 4
21 de 40
As medidas de segurana podem ser agrupadas de vrias maneiras.
Qual das seguintes correta?
A. Fsica, lgica, preventiva
B. Lgica repressiva, preventiva
C. Organizacional, preventiva, corretiva, fsica
D. Preventiva, detectiva, repressiva, corretiva

EXIN, VB_ISFS.PR

8/34

22 de 40
Um alarme de fumaa colocado em uma sala de computadores.
Sob qual categoria de medidas de segurana este item se enquadra?
A. Corretiva
B. Detectiva
C. Organizacional
D. Preventiva
23 de 40
O Security Officer (ISO-Information Security Officer)), da companhia de seguros Euregio deseja ter
uma lista de medidas de segurana em conjunto.
O que ele tem que fazer, primeiramente, antes de selecionar as medidas de segurana a serem
implementadas?
A. Implantar o monitoramento.
B. Realizar uma avaliao.
C. Formular uma poltica de segurana da informao.
D. Realizar uma anlise de risco.
24 de 40
Qual a finalidade da classificao das informaes?
A. Determinar quais tipos de informaes podem requerer diferentes nveis de proteo.
B. Atribuir informaes a um proprietrio.
C. Reduzir os riscos de erro humano.
D. Impedir o acesso no autorizado a informaes.
25 de 40
A autenticao forte necessria para acessar reas altamente protegidas. Em caso de
autenticao forte a identidade de uma pessoa verificada atravs de trs fatores.
Qual fator verificado quando preciso digitar um nmero de identificao pessoal (PIN)?
A. Algo que voc
B. Algo que voc tem
C. Algo que voc sabe

EXIN, VB_ISFS.PR

9/34

26 de 40
O acesso sala de computadores est fechado usando um leitor de crachs. Somente o
Departamento de Sistemas de Gesto tem um crach.
Que tipo de medida de segurana essa?
A. Uma medida de segurana de correo
B. Uma medida de segurana fsica
C. Uma medida de segurana lgica
D. Uma medida de segurana repressiva
27 de 40
Quatro membros do pessoal do departamento de TI compartilham um mesmo crach.
A que risco este fato pode levar?
A. Se a energia falhar, os computadores vo ficar fora.
B. Se houver fogo os extintores de incndio no podem ser usados.
C. Se alguma coisa desaparecer da sala de informtica, no vai ficar claro quem responsvel.
D. Pessoas no autorizadas podem ter acesso sala de computadores sem serem vistas.
28 de 40
No salo de recepo de um escritrio da administrao, h uma impressora que todos os
funcionrios podem usar em caso de emergncia. O arranjo que as impresses devem ser
recolhidas imediatamente, para que elas no possam ser levadas por um visitante.
Qual outro risco para a informao da empresa que esta situao traz?
A. Os arquivos podem permanecer na memria da impressora.
B. Visitantes seriam capazes de copiar e imprimir as informaes confidenciais da rede.
C. A impressora pode tornar-se deficiente atravs do uso excessivo, de modo que j no estar
disponvel para uso.

EXIN, VB_ISFS.PR

10/34

29 de 40
Qual das seguintes medidas de segurana uma medida tcnica?
1. Atribuio de Informaes a um dono
2. Criptografia de arquivos
3. Criao de uma poltica de definio do que e no permitido no e-mail
4. Senhas do sistema de gesto armazenadas em um cofre
A. 1
B. 2
C. 3
D. 4
30 de 40
As cpias de segurana (backup) do servidor central so mantidas na mesma sala fechada como o
servidor. Que risco a organizao enfrenta?
A. Se o servidor falhar, levar um longo tempo antes que o servidor esteja novamente
operacional.
B. Em caso de incndio, impossvel obter o sistema de volta ao seu estado anterior.
C. Ningum responsvel pelos backups.
D. Pessoas no autorizadas tm acesso fcil para os backups.
31 de 40
Qual das tecnologias abaixo maliciosa?
A. Criptografia
B. Hash
C. Virtual Private Network (VPN)
D. Vrus, worms e spyware
32 de 40
Que medida no ajuda contra software mal-intencionado?
A. Uma poltica ativa de correes
B. Um programa anti-spyware
C. Um filtro anti-spam
D. Uma senha

EXIN, VB_ISFS.PR

11/34

33 de 40
O que um exemplo de medida organizacional?
A. Cpia de segurana (backup) de dados
B. Criptografia
C. Segregao de funes
D. Manuteno de equipamentos de rede e caixas de juno em uma sala trancada
34 de 40
A identificao determinar se a identidade de algum correta.
Esta declarao correta?
A. sim
B. no
35 de 40
Por que necessrio manter um plano de recuperao de desastres atualizados e test-lo
regularmente?
A. A fim de sempre ter acesso s cpias de segurana (backups) recentes, que esto localizadas
fora do escritrio.
B. Para ser capaz de lidar com as falhas que ocorrem diariamente.
C. Porque de outra forma, na eventualidade de uma ruptura muito grande, as medidas tomadas e
os procedimentos previstos podem no ser adequados ou podem estar desatualizados.
D. Porque esta exigida pela Lei de Proteo de Dados Pessoais.
36 de 40
O que a autorizao?
A. A determinao da identidade de uma pessoa.
B. O registro das aes realizadas.
C. A verificao da identidade de uma pessoa.
D. A concesso de direitos especficos, tais como o acesso seletivo para uma pessoa.

EXIN, VB_ISFS.PR

12/34

37 de 40
Qual norma legal importante na rea de segurana da informao que o governo tem que cumprir?
A. Anlise de dependncia e vulnerabilidade
B. ISO / IEC 20000
C. ISO / IEC 27002
D. Leislao nacional de segurana de informao ou regulamentos.
38 de 40
Com base em qual legislao algum pode pedir para inspecionar os dados que tenham sido
registrados?
A. A Lei de Registros Pblicos
B. A Lei de Proteo de Dados Pessoais
C. A Lei de Crimes de Informtica
D. A Lei de Acesso Pblico a Informaes do Governo
39 de 40
O Cdigo de Prtica de Segurana da Informao (ISO / IEC 27002) uma descrio de um mtodo
de anlise de risco.
Esta declarao correta?
A. Sim
B. No
40 de 40
O Cdigo de Prtica de Segurana da Informao (ISO / IEC 27002) s se aplica s grandes
empresas.
Esta declarao correta?
A. Sim
B. No

EXIN, VB_ISFS.PR

13/34

Gabarito de respostas

1 de 40
Voc recebeu do seu contador uma cpia da sua declarao fiscal e deve verificar se os dados
esto corretos.
Qual caracterstica de confiabilidade da informao que voc est verificando?
A. Disponibilidade
B. Exclusividade
C. Integridade
D. Confidencialidade
A. Incorreto. A disponibilidade o grau em que a informao est disponvel para os usurios nos
momentos necessrios.
B. Incorreto. A exclusividade uma caracterstica de sigilo.
C. Correto. Esta uma preocupao da integridade. Consulte a seo 4.5 "Os princpios de
segurana da informao".
D. Incorreto. Trata-se do grau em que o acesso informao restrito a apenas aqueles que so
autorizados.
2 de 40
A fim de ter uma aplice de seguro de incndio, o departamento administrativo deve determinar o
valor dos dados que ele gerencia.
Qual fator no importante para determinar o valor de dados para uma organizao?
A. O contedo dos dados.
B. O grau em que a falta, dados incompletos ou incorretos podem ser recuperados.
C. A indispensabilidade dos dados para os processos de negcio.
D. importncia dos processos de negcios que fazem uso dos dados.
A. Correto. O contedo dos dados no determina o seu valor. Ver ponto 4.3 do "Os princpios de
segurana da informao".
B. Incorreto. Dados ausentes, incompletos ou incorretos podem ser facilmente recuperados so
menos valiosos do que os dados que so difceis ou impossveis de recuperar.
C. Incorreto. A indispensabilidade dos dados para os processos de negcios, em parte, determina
o valor.
D. Incorreto. Dados crticos para os processos importantes de negcio so, consequentemente,
valiosos.

EXIN, VB_ISFS.PR

14/34

3 de 40
Nosso acesso informao cada vez mais fcil. Ainda assim, a informao tem de ser confivel,
a fim de ser utilizvel.
O que no um aspecto de confiabilidade da informao?
A. Disponibilidade
B. Integridade
C. Quantidade
D. Confidencialidade
A. Incorreto. A disponibilidade um aspecto de confiabilidade da informao
B. Incorreto. A integridade um aspecto de confiabilidade da informao
C. Correto. Quantidade no um aspecto de confiabilidade das informaes. Consulte a seo de
4.5 "Os princpios de segurana da informao".
D. Incorreto. A confidencialidade um aspecto de confiabilidade da informao
4 de 40
"Completeza" faz parte de qual aspecto de confiabilidade da informao?
A. Disponibilidade
B. Exclusividade
C. Integridade
D. Confidencialidade
A. Incorreto. As informaes podem estar disponveis sem ter que ser completas
B. Incorreto. A exclusividade uma caracterstica de sigilo.
C. Correto. Integridade parte do aspecto de confiabilidade. Consulte a seo de 4.5 "Os
princpios de segurana da informao".
D. Incorreto. As informaes confidenciais no tm que ser completas

EXIN, VB_ISFS.PR

15/34

5 de 40
Um departamento administrativo vai determinar os perigos aos quais est exposto.
O que chamamos de um possvel evento que pode ter um efeito perturbador sobre a
confiabilidade da informao?
A. Dependncia
B. Ameaa
C. Vulnerabilidade
D. Risco
A. Incorreto. A dependncia no um evento.
B. Correto. A ameaa um evento possvel que pode ter um efeito perturbador sobre a
confiabilidade da informao. Veja a seo 5 de "Os princpios de segurana da informao".
C. Incorreto. A vulnerabilidade o grau em que um objeto est suscetvel a uma ameaa.
D. Incorreto. Um risco o prejuzo mdio esperado durante um perodo de tempo como resultado
de uma ou mais ameaas levando ruptura
6 de 40
Qual o propsito do gerenciamento de risco?
A. Determinar a probabilidade de que um certo risco ocorrer.
B. Determinar os danos causados por possveis incidentes de segurana.
C. Delinear as ameaas a que esto expostos os recursos de TI.
D. Utilizar medidas para reduzir os riscos para um nvel aceitvel.
A. Incorreto. Isso faz parte da anlise de risco.
B. Incorreto. Isso faz parte da anlise de risco.
C. Incorreto. Isso faz parte da anlise de risco.
D. Correto. O objetivo do gerenciamento de risco o de reduzir os riscos para um nvel aceitvel.
Veja a seo 5 de "Os princpios de segurana da informao".

EXIN, VB_ISFS.PR

16/34

7 de 40
Qual das afirmaes sobre a anlise de risco a correta?
1. Riscos que so apresentados em uma anlise de risco podem ser classificados.
2. Numa anlise de risco todos os detalhes tm que ser considerados.
3. A anlise de risco limita-se disponibilidade.
4. A anlise de risco simples de efetuar atravs do preenchimento de um pequeno questionrio
padro com perguntas padro.
A. 1
B. 2
C. 3
D. 4
A. Correto. Nem todos os riscos so iguais. Como regra os maiores riscos so abordados em
primeiro lugar. Veja a seo 5 de "Os princpios de segurana da informao".
B. Incorreto. impossvel em uma anlise de risco examinar todos os detalhes.
C. Incorreto. A anlise de risco considera todos os aspectos de confiabilidade, incluindo a
integridade e confidencialidade, juntamente com a disponibilidade.
D. Incorreto. Em uma anlise de riscos, questes raramente so aplicveis a cada situao.
8 de 40
Qual dos exemplos abaixo pode ser classificado como fraude?
1. Infectar um computador com um vrus.
2. Realizao de uma operao no autorizada
3. Divulgao de linhas de comunicao e redes.
4. Utilizao da Internet no trabalho para fins privados.
A. 1
B. 2
C. 3
D. 4
A. Incorreto. A infeco por vrus classificada como a "ameaa de alterao no autorizada".
B. Correto. Uma transao no autorizada classificada como "fraude". Consulte a seo 10.6 de
"Os princpios de segurana da informao".
C. Incorreto. A divulgao de linhas de comunicao e redes classificada como "ameaa" de
divulgao.
D. Incorreto. A utilizao privada classificada como a ameaa de "abuso".

EXIN, VB_ISFS.PR

17/34

9 de 40
Um risco possvel para uma empresa dano por incndio. Se essa ameaa ocorre, isto , se um
incndio na verdade eclode, danos diretos e indiretos podem ocorrer.
O que um exemplo de prejuzo direto?
A. Um banco de dados destrudo
B. Perda de imagem
C. Perda de confiana do cliente
D. Obrigaes legais no podem mais ser satisfeitas
A. Correto. Um banco de dados destrudo um exemplo de prejuzos direto. Ver ponto 5.5 do "Os
princpios de segurana da informao".
B. Incorreto. Danos de imagem um prejuzo indireto.
C. Incorreto. Perda de confiana do cliente indireto.
D. Incorreto. Ser incapaz de cumprir as obrigaes legais dano indireto.
10 de 40
A fim de reduzir os riscos, uma empresa decide optar por uma estratgia de um conjunto de
medidas. Uma das medidas que um acordo stand-by organizado para a empresa.
A que tipo de medidas um acordo stand-by pertence?
A. Medidas corretivas
B. Medidas detectivas
C. Medidas preventivas
D. Medidas repressivas
A. Incorreto. Medidas corretivas so tomadas aps evento
B. Incorreto. Medidas detectivas so tomadas depois de um sinal de deteco.
C. Incorreto. As medidas preventivas so destinadas a evitar incidentes.
D. Correto. Medidas repressivas, tais como um acordo stand-by, visam minimizar os danos.
Consulte a seo 5.3.4 de "Os princpios de segurana da informao".

EXIN, VB_ISFS.PR

18/34

11 de 40
O que um exemplo de uma ameaa humana?
A. Um pen drive que passa vrus para a rede.
B. Muito p na sala do servidor.
C. Um vazamento que causa uma falha no fornecimento de eletricidade.
A. Correto. Um pen drive que passa vrus para a rede sempre inserido por uma pessoa. Desta
forma, um vrus que entra na rede , ento, uma ameaa humana. Veja a seo 5.4.1 de "Os
princpios de segurana da informao".
B. Incorreto. Poeira no uma ameaa humana.
C. Incorreto. A falha de energia eltrica no uma ameaa humana.
12 de 40
O que um exemplo de uma ameaa humana?
A. Um apago
B. Fogo
C. Phishing
A. Incorreto. Um relmpago um exemplo de uma ameaa no humana
B. Incorreto. O fogo um exemplo de uma ameaa no humana
C. Correto. Phishing (atraem usurios para sites falsos) uma forma de ameaa humana. Veja a
seo 5.4.1 e 9.4.6 de "Os princpios de segurana da informao".
13 de 40
A confiabilidade constantemente ameaada. Exemplos de ameaas so: um cabo se soltar, a
informao que algum altera por acidente, dados que so usados para fins particulares ou
falsificados.
Qual destes exemplos uma ameaa confidencialidade?
A. Um cabo solto
B. Excluso acidental de dados
C. Utilizao privada de dados
D. Falsificao de dados
A. Incorreto. Um cabo solto uma ameaa para a disponibilidade de informaes.
B. Incorreto. A alterao no intencional de dados uma ameaa sua integridade.
C. Correto. A utilizao de dados para fins privados uma forma de abuso e uma ameaa
confidencialidade. Consulte a seo de 4.5 "Os princpios de segurana da informao".
D. Incorreto. A falsificao de dados uma ameaa sua integridade.

EXIN, VB_ISFS.PR

19/34

14 de 40
Um empregado nega o envio de uma mensagem especfica.
Qual o aspecto de confiabilidade da informao est em perigo aqui?
A. Disponibilidade
B. Exatido
C. Integridade
D. Confidencialidade
A. Incorreto. Sobrecarregar a infra-estrutura um exemplo de uma ameaa disponibilidade.
B. Incorreto. Exatido no um aspecto de confiabilidade. uma caracterstica de integridade.
C. correto. A negao do envio de uma mensagem tem a ver com o no-repdio, uma ameaa
integridade. Consulte a seo de 4.5 "Os princpios de segurana da informao".
D. Incorreto. O uso indevido e / ou divulgao de dados so ameaas confidencialidade.
15 de 40
No ciclo de incidente h quatro etapas sucessivas.
Qual a ordem dessas etapas?
A. Ameaa, Dano, Incidente, Recuperao
B. Ameaa, Incidente, Dano, Recuperao
C. Incidente, Ameaa, Dano, Recuperao
D. Incidente, Recuperao, Dano, Ameaa
A. Incorreto. Os danos se seguem aps o incidente.
B. Correto. A ordem das etapas do ciclo do incidente : ameaa, incidente, dano e recuperao.
Veja a seo 6.4.4 de "Os princpios de segurana da informao".
C. Incorreto. O incidente segue a ameaa.
D. Incorreto. A recuperao a ltima etapa.

EXIN, VB_ISFS.PR

20/34

16 de 40
Um incndio interrompe os trabalhos da filial de uma empresa de seguros de sade. Os
funcionrios so transferidos para escritrios vizinhos para continuar seu trabalho.
No ciclo de vida do incidente, onde so encontrados os arranjos de continuidade?
A. Entre a ameaa e o incidente
B. Entre a recuperao e a ameaa
C. Entre o dano e a recuperao
D. Entre o incidente e os danos
A. Incorreto. Realizao de um acordo stand-by, sem que primeiro haja um incidente muito caro.
B. Incorreto. A recuperao ocorre aps a colocao do acordo de stand-by em funcionamento.
C. Incorreto. Danos e recuperao so realmente limitados pelo acordo stand-by.
D. Correto. Um stand-by uma medida repressiva que iniciada, a fim de limitar os danos. Veja a
seo 6.4.4 e 9.3 de "Os princpios de segurana da informao".
17 de 40
Como melhor descrito o objetivo da poltica de segurana da informao?
A. A poltica documenta a anlise de riscos e a busca de medidas de contorno.
B. A poltica fornece orientao e apoio gesto em matria de segurana da informao.
C. A poltica torna o plano de segurana concreto, fornecendo-lhe os detalhes necessrios.
D. A poltica fornece percepes sobre as ameaas e as possveis consequncias.
A. Incorreto. Este o propsito da anlise e gerenciamento de riscos.
B. Correto. A poltica de segurana fornece orientao e apoio gesto em matria de segurana
da informao. Veja a seo 9.1 de "Os princpios de segurana da informao".
C. Incorreto. O plano de segurana faz com que a poltica de segurana da informao seja concret
A. O plano inclui medidas que tenham sido escolhidas, quem responsvel pelo que, as
orientaes para a implementao de medidas, etc.
D. Incorreto. Este o propsito de uma anlise de ameaa.

EXIN, VB_ISFS.PR

21/34

18 de 40
O cdigo de conduta para os negcios eletrnicos (e-business) baseado em uma srie de
princpios.
Quais dos seguintes princpios no pertencem?
A. Confiabilidade
B. Registro
C. Confidencialidade e privacidade
A. Incorreto. Confiabilidade forma uma das bases do cdigo de conduta.
B. Correto. O cdigo de conduta baseado nos princpios de confiabilidade, transparncia,
confidencialidade e privacidade. Consulte a 9.4.12 seo de "Os princpios de segurana da
informao".
C. Incorreto. O cdigo de conduta se baseia em matria de confidencialidade e privacidade, entre
outras coisas.
19 de 40
Um trabalhador da companhia de seguros Euregio descobre que a data de validade de uma
poltica foi alterada sem seu conhecimento. Ela a nica pessoa autorizada a fazer isso. Ela relata
este incidente de segurana ao Helpdesk. O atendente do help desk registra as seguintes
informaes sobre este incidente:
data e hora
descrio do incidente
possveis conseqncias do incidente
Que informao importante sobre o incidente est faltando aqui?
A. O nome da pessoa que denunciou o incidente
B. O nome do pacote de software
C. O nmero do PC
D. Uma lista de pessoas que foram informadas sobre o incidente
A. Correto. Ao relatar um incidente, o nome do usurio deve ser registrado no mnimo. Veja a
seo 6.4.1 de "Os princpios de segurana da informao".
B. Incorreto. Esta informao adicional pode ser adicionada posteriormente
C. Incorreto. Esta informao adicional pode ser adicionada posteriormente
D. Incorreto. Esta informao adicional pode ser adicionada posteriormente

EXIN, VB_ISFS.PR

22/34

20 de 40
Uma empresa experimenta os seguintes incidentes:
1. Um alarme de incndio no funciona.
2. A rede invadida.
3. Algum finge ser um membro do quadro de pessoal.
4. Um arquivo no computador no pode ser convertido em um arquivo PDF.
Qual destes incidentes no um incidente de segurana?
A. 1
B. 2
C. 3
D. 4
A. Incorreto. Um alarme de incndio defeituoso um incidente que pode ameaar a
disponibilidade de dados.
B. Incorreto. Hacking um incidente que pode ameaar a disponibilidade, integridade e
confidencialidade dos dados.
C. Incorreto. Desvio de identidade um incidente que pode ameaar o aspecto da disponibilidade,
integridade e confidencialidade dos dados.
D. Correto. Um incidente de segurana um incidente que ameaa a confidencialidade,
confiabilidade e disponibilidade dos dados. Esta no uma ameaa para a disponibilidade,
integridade e confidencialidade dos dados. Consulte a seo de 6.4 "Os princpios de segurana
da informao".
21 de 40
As medidas de segurana podem ser agrupadas de vrias maneiras.
Qual das seguintes correta?
A. Fsica, lgica, preventiva
B. Lgica repressiva, preventiva
C. Organizacional, preventiva, corretiva, fsica
D. Preventiva, detectiva, repressiva, corretiva
A. Incorreto. Organizacional / lgico / fsico um grupo apropriado, como preventiva / detectiva
/ repressiva / corretivas.
B. Incorreto. Organizacional / lgico / fsico um grupo apropriado, como preventiva / detectiva
/ repressiva / corretivas.
C. Incorreto. Organizacional / lgico / fsico um grupo apropriado, como preventiva / detectiva
/ repressiva / corretivas.
D. Correto. Preventiva / detectiva / repressiva / corretiva um grupo apropriado, como
organizacional / lgico / fsico. Consulte a seo de 5.3 "Os princpios de segurana da
informao".

EXIN, VB_ISFS.PR

23/34

22 de 40
Um alarme de fumaa colocado em uma sala de computadores.
Sob qual categoria de medidas de segurana este item se enquadra?
A. Corretiva
B. Detectiva
C. Organizacional
D. Preventiva
A. Incorreto. Um alarme detecta fumaa e, em seguida, envia um alarme, mas no tomar qualquer
ao corretiva.
B. Correto. Um alarme de incndio s tem uma funo de sinalizao, aps o alarme dado, a ao
ainda necessria. Consulte a seo de 5.3 "Os princpios de segurana da informao".
C. Incorreto. S as medidas que seguem um sinal de alarme de incndio so organizacionais; a
colocao de um alarme de fumaa no organizacional.
D. Incorreto. Um alarme de fumaa no impede o fogo e no , portanto, uma medida preventiva.
23 de 40
O Security Officer (ISO-Information Security Officer), da companhia de seguros Euregio deseja ter
uma lista de medidas de segurana em conjunto.
O que ele tem que fazer, primeiramente, antes de selecionar as medidas de segurana a serem
implementadas?
A. Implantar o monitoramento.
B. Realizar uma avaliao.
C. Formular uma poltica de segurana da informao.
D. Realizar uma anlise de risco.
A. Incorreto. O monitoramento uma medida possvel.
B. Incorreto. A avaliao acontece depois que a lista de medidas montada.
C. Incorreto. Uma poltica de segurana da informao importante, mas no necessria a fim
de selecionar medidas.
D. Correto. Antes das medidas de segurana serem selecionadas, Euregio deve conhecer os seus
riscos para determinar quais os riscos requerem uma medida de segurana. Veja a seo 5 de "Os
princpios de segurana da informao".

EXIN, VB_ISFS.PR

24/34

24 de 40
Qual a finalidade da classificao das informaes?
A. Determinar quais tipos de informaes podem requerer diferentes nveis de proteo.
B. Atribuir informaes a um proprietrio.
C. Reduzir os riscos de erro humano.
D. Impedir o acesso no autorizado a informaes.
A. Correto. O objetivo da classificao das informaes de manter uma proteo adequada.
Consulte a seo de 6.3 "Os princpios de segurana da informao".
B. Incorreto. Alocao de informaes para um proprietrio o meio de classificao e no o fim.
C. Incorreto. Reduzir os riscos de erro humano parte dos requisitos de segurana dos
funcionrios.
D. Incorreto. Impedir o acesso no autorizado a informaes parte de segurana de acesso.
25 de 40
A autenticao forte necessria para acessar reas altamente protegidas. Em caso de
autenticao forte a identidade de uma pessoa verificada atravs de trs fatores.
Qual fator verificado quando preciso digitar um nmero de identificao pessoal (PIN)?
A. Algo que voc
B. Algo que voc tem
C. Algo que voc sabe
A. Incorreto. Um cdigo PIN no um exemplo de algo que voc .
B. Incorreto. Um cdigo PIN no algo que voc tem.
C. Correto. Um cdigo PIN algo que voc sabe. Consulte a seo 7.2.2.1 de "Os princpios de
segurana da informao".

EXIN, VB_ISFS.PR

25/34

26 de 40
O acesso sala de computadores est fechado usando um leitor de crachs. Somente o
Departamento de Sistemas de Gesto tem um crach.
Que tipo de medida de segurana essa?
A. Uma medida de segurana de correo
B. Uma medida de segurana fsica
C. Uma medida de segurana lgica
D. Uma medida de segurana repressiva
A. Incorreto. A medida de segurana de correo uma medida de recuperao.
B. Correto. Esta uma medida de segurana fsica. Consulte a seo 7 do "Os princpios de
segurana da informao".
C. Incorreto. Uma medida de segurana lgica controla o acesso ao software e informao, e no o
acesso fsico s salas
D. Incorreto. A medida de segurana repressiva visa minimizar as conseqncias de um
rompimento.
27 de 40
Quatro membros do pessoal do departamento de TI compartilham um mesmo crach.
A que risco este fato pode levar?
A. Se a energia falhar, os computadores vo ficar fora.
B. Se houver fogo os extintores de incndio no podem ser usados.
C. Se alguma coisa desaparecer da sala de informtica, no vai ficar claro quem responsvel.
D. Pessoas no autorizadas podem ter acesso sala de computadores sem serem vistas.
A. Incorreto. Computadores fora do ar como resultado de uma falha de energia no tm nada a ver
com a gesto de acesso.
B. Incorreto. Mesmo com um crach, a equipe de TI pode apagar um incndio com um extintor de
incndio.
C. Correto. Embora fosse claro que algum do departamento de TI entrou na sala, no certo que
isso tenha acontecido. Consulte a seo de 7.2 "Os princpios de segurana da informao".
D. Incorreto. Ningum tem acesso sala de computadores sem um crach.

EXIN, VB_ISFS.PR

26/34

28 de 40
No salo de recepo de um escritrio da administrao, h uma impressora que todos os
funcionrios podem usar em caso de emergncia. O arranjo que as impresses devem ser
recolhidas imediatamente, para que elas no possam ser levadas por um visitante.
Qual outro risco para a informao da empresa que esta situao traz?
A. Os arquivos podem permanecer na memria da impressora.
B. Visitantes seriam capazes de copiar e imprimir as informaes confidenciais da rede.
C. A impressora pode tornar-se deficiente atravs do uso excessivo, de modo que j no estar
disponvel para uso.
A. Correto. Se os arquivos permanecem na memria podem ser impressos e levados por qualquer
transeunte. 9.4.11 consulte a seo de "Os princpios de segurana da informao".
B. Incorreto. No possvel usar uma impressora para copiar as informaes da rede.
C. Incorreto. A indisponibilidade de uma impressora no forma um risco para a informao da
companhia.
29 de 40
Qual das seguintes medidas de segurana uma medida tcnica?
1. Atribuio de Informaes a um dono
2. Criptografia de arquivos
3. Criao de uma poltica de definio do que e no permitido no e-mail
4. Senhas do sistema de gesto armazenadas em um cofre
A. 1
B. 2
C. 3
D. 4
A. Incorreto. Alocao de informaes para um proprietrio a classificao, que uma medida
organizacional.
B. Correto. Esta uma medida tcnica que impede que pessoas no autorizadas leiam as
informaes. Ver ponto 8.3 do "Os princpios de segurana da informao".
C. Incorreto. Esta uma medida organizacional, um cdigo de conduta que est escrito no
contrato de trabalho.
D. Incorreto. Esta uma medida organizacional.

EXIN, VB_ISFS.PR

27/34

30 de 40
As cpias de segurana (backup) do servidor central so mantidas na mesma sala fechada como o
servidor. Que risco a organizao enfrenta?
A. Se o servidor falhar, levar um longo tempo antes que o servidor esteja novamente
operacional.
B. Em caso de incndio, impossvel obter o sistema de volta ao seu estado anterior.
C. Ningum responsvel pelos backups.
D. Pessoas no autorizadas tm acesso fcil para os backups.
A. Incorreto. Pelo contrrio, isso ajudaria a recuperar o sistema operacional mais rapidamente.
B. Correto. A chance de que as cpias de segurana tambm podem ser destrudas em um
incndio muito grande. Veja a seo 9.4.7 de "Os princpios de segurana da informao".
C. Incorreto. A responsabilidade no tem nada a ver com o local de armazenamento.
D. Incorreto. A sala de informtica est bloqueada.
31 de 40
Qual das tecnologias abaixo maliciosa?
A. Criptografia
B. Hash
C. Virtual Private Network (VPN)
D. Vrus, worms e spyware
A. Incorreto. Criptografia torna a informao impossvel de ser lida por qualquer pessoa, exceto
aquela que possue conhecimento especial, usualmente feito por uma chave
B. Incorreto. Hash um mtodo de criptografia da informao
C. Incorreto. VPN uma conexo segura feita para acesso internet
D. Correto. Todas essas so formas de tecnologias maliciosas que estabelecem pedidos a um
computador para fins maliciosos. Veja a seo 9.4.6 de Os princpios de segurana da
informao.

EXIN, VB_ISFS.PR

28/34

32 de 40
Que medida no ajuda contra software mal-intencionado?
A. Uma poltica ativa de correes
B. Um programa anti-spyware
C. Um filtro anti-spam
D. Uma senha
A. Incorreto. Software mal intencionado freqentemente usa falhas de programao em
programas populares. Correes reparam brechas de segurana nesses programas, reduzindo a
chance de infeces por software mal intencionado.
B. Incorreto. Spyware um programa malicioso que coleta informaes confidenciais e ento as
distribui. Um programa anti-spyware pode detectar esse tipo de programa no computador
C. Incorreto. Spam um e-mail no pedido. freqentemente uma simples propaganda, mas pode
tambm ter programas maliciosos anexados ou um link para um site na internet com software
malicioso. Um filtro remove spam.
D. Correto. Uma senha um meio de autenticao. Ela no bloqueia qualquer tipo de software
malicioso. Veja seo 8.1.2.1 de Os princpios de segurana da informao.
33 de 40
O que um exemplo de medida organizacional?
A. Cpia de segurana (backup) de dados
B. Criptografia
C. Segregao de funes
D. Manuteno de equipamentos de rede e caixas de juno em uma sala trancada
A. Incorreto. Cpia de segurana (backup) uma medida tcnica
B. Incorreto. Criptografia de dados uma medida tcnica
C. Correto. Segregao de funes uma medida organizacional. A iniciao, execuo e controle
de funes so alocados a diferentes pessoas. Por exemplos, a transferncia de um grande
volume de dinheiro preparada por um escriturrio, o diretor financeiro executa o pagamento e
um contador audita a transao. Veja seo 9.4.3 de Os princpios de segurana da informao.
D. Incorreto. Trancar as salas uma medida de segurana fsica.

EXIN, VB_ISFS.PR

29/34

34 de 40
A identificao determinar se a identidade de algum correta.
Esta declarao correta?
A. sim
B. no
A. Incorreto. Identificao o processo de tornar uma identidade conhecida.
B. Correto. Estabelecer se a identidade de algum correta chamado de autenticao. Veja a
seo 8.1 de Os princpios de segurana da informao.
35 de 40
Por que necessrio manter um plano de recuperao de desastres atualizados e test-lo
regularmente?
A. A fim de sempre ter acesso s cpias de segurana (backups) recentes, que esto localizadas
fora do escritrio.
B. Para ser capaz de lidar com as falhas que ocorrem diariamente.
C. Porque de outra forma, na eventualidade de uma ruptura muito grande, as medidas tomadas e
os procedimentos previstos podem no ser adequados ou podem estar desatualizados.
D. Porque esta exigida pela Lei de Proteo de Dados Pessoais.
A. Incorreto. Esta uma das medidas tcnicas utilizadas para recuperar um sistema.
B. Incorreto. Para rupturas normais, as medidas usualmente executadas e os procedimentos de
incidentes so suficientes.
C. Correto. Uma ruptura maior requer planos atualizados e testados. Veja seo 9.3 de Os
princpios de segurana da informao.
D. Incorreto. A Lei de Proteo de Dados Pessoais envolve a privacidade dos dados pessoais.

EXIN, VB_ISFS.PR

30/34

36 de 40
O que a autorizao?
A. A determinao da identidade de uma pessoa.
B. O registro das aes realizadas.
C. A verificao da identidade de uma pessoa.
D. A concesso de direitos especficos, tais como o acesso seletivo para uma pessoa.
A. Incorreto. A determinao da identidade de uma pessoa chamada de identificao
B. Incorreto. O registro das aes realizadas chamado dirio
C. Incorreto. A verificao da identidade da pessoa chamada de autenticao
D. Correto. A permisso de direitos especficos, tal como acesso seletivo para uma pessoa,
chamada de autorizao. Veja seo 8.1 de Os princpios de segurana da informao.
37 de 40
Qual norma legal importante na rea de segurana da informao que o governo tem que cumprir?
A. Anlise de dependncia e vulnerabilidade
B. ISO / IEC 20000
C. ISO / IEC 27002
D. Leislao nacional de segurana de informao ou regulamentos.
A. Incorreto. Dependncia & Anlise de Risco um mtodo de anlise de risco.
B. Incorreto. ISO/IEC 20000 um padro para organizar o gerenciamento de servios de TI e no
compulsrio.
C. Incorreto. ISO/IEC 27002 o Cdigo de Segurana da Informao. um guia para organizar a
Segurana de Informao e no compulsrio.
D. Correto. Legislao nacional de segurana da informao ou regulamentos so intencionados
para todos os governos e so obrigatrios. Veja seo 10 de Os princpios de segurana da
informao.

EXIN, VB_ISFS.PR

31/34

38 de 40
Com base em qual legislao algum pode pedir para inspecionar os dados que tenham sido
registrados?
A. A Lei de Registros Pblicos
B. A Lei de Proteo de Dados Pessoais
C. A Lei de Crimes de Informtica
D. A Lei de Acesso Pblico a Informaes do Governo
A. Incorreto. A Lei de Registros Pblicos regula o armazenamento e a destruio de documentos
arquivados.
B. Correto. O direito de inspeo regulado na Lei de Proteo de Dados Pessoais. Veja seo
10.5 de Os princpios de segurana da informao.
C. Incorreto. A Lei de Crimes de Informtica uma mudana do Cdigo Penal e do Cdigo de
Processo Criminal de forma a tornar mais fcil lidar com ofensas praticadas por meio de
tecnologia da informao avanada. Um exemplo de uma nova ofensa o hacking.
D. Incorreto. A Lei de Acesso Pblico a Informaes do Governo regula a inspeo de documentos
oficiais escritos. Dados pessoais no so documentos oficiais.
39 de 40
O Cdigo de Prtica de Segurana da Informao (ISO / IEC 27002) uma descrio de um mtodo
de anlise de risco.
Esta declarao correta?
A. Sim
B. No
A. Incorreto. O Cdigo de Segurana da Informao uma coleo de medidas.
B. Correto. O Cdigo de Segurana da Informao pode ser usado em uma anlise de risco mas
no um mtodo. Veja seo 9.1 de Os princpios de segurana da informao.

EXIN, VB_ISFS.PR

32/34

40 de 40
O Cdigo de Prtica de Segurana da Informao (ISO / IEC 27002) s se aplica s grandes
empresas.
Esta declarao correta?
A. Sim
B. No
A. Incorreto. O Cdigo de Segurana da Informao aplicvel a todos os tipos de organizao,
grandes e pequenas.
B. Correto. O Cdigo de Segurana da Informao aplicvel a todos os tipos de organizao,
grandes e pequenas. Veja seo 9.1 de Os princpios de segurana da informao.

EXIN, VB_ISFS.PR

33/34

Avaliao
A tabela abaixo mostra as respostas corretas s questes deste exemplo de exame.
nmero
1

resposta
C

pontos
1

nmero
21

pontos
1

22

23

24

25

26

27

28

29

10

30

11

31

12

32

13

33

14

34

15

35

16

36

17

37

18

38

19

39

20

40

EXIN, VB_ISFS.PR

resposta

34/34