ISO-27002 - Conceitos Fundamentais Flashcards

1
Q

A norma 27002 derivou de que norma ?

A

ISO/17799

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

A 27002 é voltada para certificação ?

A

Não

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Qual norma é voltada para certificação e é mais abrangente que a norma 27002, definindo recomendações para a mesma ?

A

27001

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Uma empresa pode ser certificada 27001 ?

A

Sim

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Quais foram as mudanças que a ISO/27002 teve em relação à ISO/17799 ?

A

Criação de novas seções, Nova definição de SI(negócio), Ampliação do conceito de ativos(pessoas, imagem org), Atualizações dos controles existentes.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Quantos controles foram adicionados na 27002 ?

A

17

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Quantas seções tem a norma 27002 ?

A

11

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

As seções tem prioridades entre elas ?

A

Não

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Quantos objetivos de controle tem a norma 27002?

A

39

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Quantos controles tem a norma 27002

A

133

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Qual a estrutura da norma 27002 ?

A

Objetivo de Controle > Controles > Diretrizes > Inf. Adicionais

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Qual a nova definição de SI da 27002?

A

È a proteção da informação de vários tipos de ameaças para garantir a CONTINUIDADE, minimizar o RISCO, maximinizar o ROI doi NEGÒCIO.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Como deve ser feita a proteção da informação ?

A

Com a implementação de um conjunto de controles adequados incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Qual a finalidade desses controles ?

A

Atender aos requisitos identificados por meio de uma análise/avaliação de riscos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Como obter a segurança ?

A

Pela implementação de controles que devem ser EIOMAMM.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Para atingir os controles é essencial o estabelecimento de requisitos de segurança que são obtidos pelas seguintes FONTES:

A

Análise/Avaliação de riscos, Legislação, Objetivos do Negócios

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

A seleção de controles de segurança depende:

A

Das decisões da organização, dos critérios para aceitação das opções disponíveis para tratamento e no enfoque geral da gestão de risco.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Documentação da PSI é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

A

PRÀTICA

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Proteção de dados e PRIVACIDADE de informações é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

A

ESSENCIAL

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Preteção de REGISTROS organizacionais é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

A

ESSENCIAL

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Direitos de propriedade INTELECTUAL é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

A

ESSENCIAL

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Atribuição de RESPONSABILIDADES é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

A

PRÁTICA

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

CONCIENTIZAÇÃO E EDUCAÇÃO é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

A

PRÁTICA

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

Processamento CORRETO nas aplicações é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

A

PRÁTICA

25
Q

Gestão de VULNERABILIDADES técnicas é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

A

PRÁTICA

26
Q

Gestão de CONTINUIDADE é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

A

PRÁTICA

27
Q

Gestão de INCIDENTES é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

A

PRÁTICA

28
Q

Quais são os fatores críticos para o sucesso da implementação da SI ?

A
  • PSI que reflitam os objetivos do negócio *Cultura Organizacional *Comprometimento Gerencial *Divultação da SI *Recursos Financeiros *Treinamento *Medição
29
Q

definição de ATIVO?

A

qualquer coisa que tenha VALOR para a organização

30
Q

definição de SI ?

A

Preservação da CONFIDENCIALIDADE, INTEGRIDADE, DISPONIBILIDADE… e outros…

31
Q

definição de RISCO?

A

Combinação da PROBABILIDADE de um evento e suas CONSEQUENCIAS.

32
Q

definição de ANÁLISE DE RISCOS ?

A

Uso sistemático de informações para IDENTIFICAR FONTES e ESTIMAR O RISCO.

33
Q

definição de AVALIAÇÃO DE RISCOS ?

A

Processo de COMPARAR o risco com CRITÉRIOS de risco para determinar a importância do mesmo.

34
Q

definição de GESTÃO DE RISCO ?

A

Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.

35
Q

definição de TRATAMENTO DE RISCOS ?

A

Processo de seleção e implementação de MEDIDAS para MODIFICAR UM RISCO.

36
Q

definição de AMEAÇA ?

A

causa POTENCIAL de um INCIDENTE indesejado que pode resultar em um DANO. (fora do ativo)

37
Q

definição de VULNERABILIDADE ?

A

Fragilidade de um ativo que pode ser EXPLADO por uma ameaça. (dentro do ativo)

38
Q

definição de EVENTO ?

A

Ocorrência idntificada que indica UMA (ÚNICA) possível VIOLAÇÃO que seja relevante.

39
Q

definição de INCIDENTE ?

A

Um (SIMPLES) ou uma SÉRIE DE EVENTOS de segurança que tenha uma grande probabilidade de comprometer as operações do negócio.

40
Q

definição de POLÍTICA ?

A

Intenções e diretrizes globais FORMALMENTE expressas pela direção.

41
Q

Da norma 0 a 3 (primeiras seções da norma) indicam:

A

Introdução, Objetivo, Termos e Estrutura da norma.

42
Q

A seção 4 trata de ?

A

ANÁLISE/AVALIAÇÃO E TRATAMENTO DE RICOS.

43
Q

A seção 5 trada da?

A

PSI

44
Q

Qual a finalidade da norma 4?

A

Dar uma visualização ampla dos controles, primeiro passo a ser dado para seleção de controles.

45
Q

A seção 4 recomenda que a __ inclua um enfoque sistemático de __ e o processo de __ os riscos para determinar a __.

A

ANÁLISE/AVALIAÇÃO, ESTIMAR A MAGNITUDE DO RISCO, COMPARAR, SIGNIFICÂNCIA do risco.

46
Q

As análises/avaliações de risco devem ser feita apenas uma vez ?

A

Não, devem ser periódica para contemplar as mudanças de requisitos.

47
Q

Para cada risco identificado, uma decisão sobre TRATAMENTO precisa ser tomada, são opções:

A

*Aplicar Controles, *Aceitar Riscos, *Evitar Riscos, *Transferir Riscos.

48
Q

Qual o objetivo da PSI ?

A

Prover uma orientação e apóio da direção para a SI.

49
Q

Quais são os controles do OBJETIVO de controle PSI ?

A

Documento da PSI e Análise Crítica da PSI.

50
Q

Quais são as características de um documento da PSI.

A

Deve ser APROVADO, PUBLICADO e COMUNICADO(internamente e externamente quando relevante).

51
Q

Qual a característica da Análise Crítica da PSI ?

A

A PSI deve ser analizada criticamente em intervalos planejados para assegurar a sua contínua eficâcia.

52
Q

A DOCUMENTAÇÃO DA PSI deve conter dentre outras coisas:

A

Metas, Escopo, Estrutura, Responsabilidades, Explanação.

53
Q

Se a PSI for violada é convém que:

A

Exista um processo diciplinar formal.

54
Q

Quais são as entradas do controle Análise Crítica da PSI ?

A

Informações, Tendências com as Ameaças e Relato de Incidentes.

55
Q

Quais são as saídas do controle Análise Crítica da PSI ?

A

Decisões relacionadas a melhoria do enfoque da organização, dos controles/objetivos de controles e na alocação de recursos.

56
Q

A breve explanação da PSI deve conter..

A

Conformidade, Consientização, G.Continuidade, Consequências se for violada.

57
Q

O documento da PSI deve ser aprovado…

A

Publicado e Comunicado.

58
Q

Porque aspéctos técnicos devem ficar de fora da PSI ?

A

Porque variam muito ao longo do tempo.

59
Q

Quais os 2 objetivos de controle da PSI ?

A

Documentação e Análise Crítica da PSI.