Prova: Days of Future Past Flashcards
As responsabilidades pela SI deverm ser atribuídas antes, durante ou após a contratação de funcionários, terceiros ou fornecedores?
Antes
De quem é a responsabilidade por instruir aos funcionários, terceiros e fornecedores pratiquem a SI?
Direção
A ISO 17799:2005 recomenda que um processo disciplinar formal, deve ser instituído e levar a demissão de um funcionário pela suspeita de que houve uma violação de segurança da informação?
Não, recomenda que não se inicie processo disciplinar sem uma verificação prévia de que a violação de SI realmente ocorreu.
Um perímetro de segurança é uma marcação no chão que define uma área específica. Certo ou errado e porquê?
Errado, pois um perímetro é uma barreira física
A proteção certa para cada perímetro pode ser encontrada na ISO 27002:2005. Certo ou errado e porquê?
Errado, pois a proteção oferecida deve ser compatível com os riscos identificados
PDA e celulares por serem pequenos e de uso pessoal podem ser descartados sem exame prévio de seus sistemas de armazenamento. Certo ou errado e porquê?
Errado, pois todos os equipamentos que contém mídias de armazenamento de dados devem ser examinados antes do descarte
Revisões periódicas devem ser feitas para avaliar se softwares, componentes ou outros ativos foram retirados sem autorização. Certo ou errado e porquê?
Certo, pois deve ser dada autorização prévia para toda remoção de propriedade.
Procedimentos que devem estar definidos no gerenciamento das operações e comunicações de um SGSI, segundo a ISO 27002:2005:
Proteção contra _____ _____ e _____ _____
códigos maliciosos e códigos móveis
Quando não é possível ou razoável implementar segregação de funções, a norma recomenda que tipo de alternativas (cite pelo menos duas).
- Monitoração, trilhas de auditoria
- Acompanhamento gerencial
Qual a distância mínima entre uma cópia de segurança e a informação original?
A distância suficiente para escapar de desastre no site principal
Qual deve ser a base para controlar o acesso a informação e aos recursos de processamento?
Com base nos requisitos de negócio.
Quais as fases da vida funcional devem estar cobertas por procedimentos formais de gestão do controle de acesso dos funcionários?
Todas
Boas práticas para seleção e uso de senhas.
- Manter confidencialidade
- Evitar anotar
- Selecionar senhas de qualidade
- Modificar senhas regularmente
Cite três características de senhas de qualidade.
- Fácil de lembrar
- Não baseada em elementos relativos a pessoa
- Não vulneráveis ao ataque do dicionário
Requisitos de segurança devem ser acordados antes do desenvolvimento ou implantação de que tipo de sistema?
- Sistema operacional
- Midleware
- Aplicações
Para garantir segurança dos arquivos de sistema, que tipo de objetos devem ter cuidados especiais?
- Sistema operacional
- Dados para teste de sistema
- Código-fonte de programa
Em relação as notificações de fragilidades e eventos de segurança da informação, o que deve ser feito, segundo a norma ISO 27002:2005 ?
- Devem ser relatados por canais da direção
- Devem incluir suspeitas de fragilidade
Em relação a gestão de incidentes, segundo a norma ISO 27002:2005, o que deve ser feito?
Devem ser monitorados e quantificados tipos, quantidades e custos
Em relação a gestão de incidentes, segundo a norma ISO 27002:2005, quem pode ser indicado para responder?
Qualquer responsável, desde que assegurem respostas rápidas, efetivas e ordenadas
O que o PCN não permite?
Não permite a interrupção das atividades do negócio
Análise e avaliação de riscos: O que faz?
Identifica, quantifica e prioriza os riscos de acordo com objetivos da organização
O plano de continuidade de negócio de uma organização deve garantir uma forma de retornar as operações à normalidade (garantir a disponibilidade), não importando quanto tempo leve este processo. Verdadeiro ou falso?
Falso.
Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade. Verdadeiro ou falso?
Verdadeiro.
No desenvolvimento do PCN devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções. Verdadeiro ou falso?
Verdadeiro.
Os sistemas de informação têm seus requisitos de conformidade ditados pelos usuários finais que, por serem os donos dos sistemas tem o poder de definir o escopo para conformidade de cada sistema. Verdadeiro ou falso?
Falso.
Por não serem de uso comum aos usuários, as ferramentas de auditoria não precisam registrar suas operações (log) nem implementar controle de acesso. Verdadeiro ou falso?
Falso.
Os sistemas de informação devem ser periodicamente verificados quanto à sua conformidade com as normas de segurança da informação implementadas. Verdadeiro ou falso?
Verdadeiro.
Lei criminal ou civil, estatutos, regulamentações são fontes de requisitos de conformidade para sistemas de informação. Verdadeiro ou falso?
Verdadeiro.
CMMI é fonte de requisitos de conformidade para sistemas de informação. Verdadeiro ou falso?
Falso.
MPS.br é fonte de requisitos de conformidade para sistemas de informação. Verdadeiro ou falso?
Falso.
Obrigações contratuais são fontes de requisitos de conformidade para sistemas de informação. Verdadeiro ou falso?
Verdadeiro.
Políticas e normas organizacionais de segurança da informação são fontes de requisitos de conformidade para sistemas de informação. Verdadeiro ou falso?
Verdadeiro.
ISO 9001:2000 é fonte de requisitos de conformidade para sistemas de informação. Verdadeiro ou falso?
Falso
Procedimentos que devem estar definidos no gerenciamento das operações e comunicações de um SGSI, segundo a ISO 27002:2005:
Cópias de _______
segurança
Procedimentos que devem estar definidos no gerenciamento das operações e comunicações de um SGSI, segundo a ISO 27002:2005:
Troca de _______
informações