Segurança da Informação

Question 1

A sigla ISO significa International Organization for Standardization.

Question 2

A ISO 27000 é um conjunto de normas, cada norma tem um número 270xy, e reunem certificações de segurança da informação e proteção de dados para empresas e órgãos públicos.

Question 3

A ISO 27000 é base para a criação de um sistema de gestão de segurança da informação.
Reune diversas políticas, procedimentos, diretrizes, recursos e boas práticas para a segurança de informação em uma organização.

Question 4

Os principais princípios da ISO 27000 são
1. confiabilidade
2. integridade
3. disponibilidade
4. autenticidade
5. confidencialidade

Question 5

Princípio da ISO 27000

Autenticidade: propriedade de que uma informação é aquilo que ela diz que é.
Dicionário: qualidade do que é autêntico, verdadeiro.

Question 6

Princípio da ISO 27000

Disponibilidade: propriedade de estar disponível para acesso uso de uma entidade devidamente autorizada.

Question 7

Princípio da ISO 27000

Integridade: propriedade da informação de estar correta/precisa e completa.

Question 8

Princípio da ISO 27000

Confidencialidade: propriedade de que a informação não está disponível ou aberta para pessoas e entidades não autorizadas.

Question 9

Segundo a ISO 27000, a segurança da informação garante a confidencialidade, disponibilidade e integridade da informação.

Question 10

A ISO 27001 é a norma para administração de segurança da informação.

Question 11

O Anexo A10.1 da ISO 27001 estabelece normas para o uso da criptografia, com o objetivo de proteger a confidencialidade, autenticidade e integridade da informação.

Question 12

Anexo A10.1.1 estabelece normas e diretrizes para o desenvolvimento de uma política de uso da criptografia e controles criptográficos.

Question 13

Anexo A10.1.1:

Deve ser desenvolvido um guia/política de gestão do uso de ferramentas de controle com criptografia na organização, incluindo os princípios que guiam como a informação deve ser protegida.

Question 14

Anexo A10.1.1:

Deve ser avaliado os riscos aos quais as informações da organização estão sujeitos, incluindo seu tipo e magnitude, e com base nesses riscos devem ser decididos as ferramentas de criptografia a serem usadas.

Question 15

Anexo A10.1.1:

Deve ser usado ferramentas de criptografia para garantir a segurança da informação carregada em aparelhos móveis e linhas de comunicação.

Question 16

Anexo A10.1.1:

Deve ser estabelecida uma política de gestão de chaves criptográficas. Essa política deve dispor sobre a geração, processamento, armazenamento, transmissão e deleção, uso e tempo de vida de chaves criptográficas.

Question 17

Anexo A10.1.1:

Exige que o equipamento usado para o armazenamento de chaves criptográficas seja fisicamente seguro.

Question 18

Segundo o Anexo A9 da ISO 27001, controle de acesso constitui de limitar o acesso à informação e às localidades de armazenamento e processamento da informação.

Question 19

Anexo A9 da ISO 27001:

Need-to-know: only the information you need to execute your tasks is accessible to you (specific tasks/roles mean different needs-to-know and therefore different access profiles);

Question 20

Anexo A9 da ISO 27001:

Need-to-use: you grant access to information processing facilities (IT software, programs, protocols, rooms) that you would need to execute your task/job/role.

Question 21

ativo de informação é qualquer dado ou informação a que esteja associado
um valor para o negócio. Representam ativos de informação as informações relevantes
mantidas na mente dos tomadores de decisão, em base de dados, arquivos de computador,
documentos e planos registrados em papel

Question 22

a informação é um
bem, um patrimônio a ser preservado para uma empresa e que tem importância aos negócios.
Devido a essa importância, deve ser oferecida proteção adequada, ou seja, a proteção deve ser
proporcional à importância que determinada informação tem para uma empresa

Question 23

Confidencialidade (ou Sigilo): é a garantia de que a informação não será conhecida por
quem não deve. O acesso às informações deve ser limitado, ou seja, somente as pessoas
explicitamente autorizadas podem acessá-las. Perda de confidencialidade significa
perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser
guardada com segurança, e não divulgada para pessoas sem a devida autorização para
acessá-la.

Question 24

Integridade: destaca que a informação deve ser mantida na condição em que foi liberada
pelo seu proprietário, garantindo a sua proteção contra mudanças intencionais,
indevidas ou acidentais. Em outras palavras, é a garantia de que a informação que foi
armazenada é a que será recuperada!

Question 25

Disponibilidade: é a garantia de que a informação deve estar disponível, sempre que
seus usuários (pessoas e empresas autorizadas) necessitarem, não importando o motivo.
Em outras palavras, é a garantia que a informação sempre poderá ser acessada!

Question 26

Disponibilidade: é a garantia de que a informação deve estar disponível, sempre que
seus usuários (pessoas e empresas autorizadas) necessitarem, não importando o motivo.
Em outras palavras, é a garantia que a informação sempre poderá ser acessada!

Question 27

Vulnerabilidade é uma fragilidade que poderia ser explorada por uma ameaça para concretizar
um ataque.

Question 28

Dessa forma, podemos dizer que os riscos são medidos pela combinação entre:
* número de vulnerabilidades dos ativos;
* a probabilidade de vulnerabilidades serem exploradas por uma ameaça; e
* o impacto decorrente dos incidentes de segurança na organização.

Question 29

Uma rede infectada por bots é denominada de botnet (também conhecida como REDE
ZUMBI), sendo composta geralmente por milhares desses elementos maliciosos, que
ficam residentes nas máquinas, aguardando o comando de um invasor.

Question 30

A ISO 27000 dispõe sobre a visão geral e vocabulário das normas da família ISO 27000.

Question 31

A ISO 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação.

Question 32

As normas NBR ISO são traduções das normas ISO (internacionais) para o português e que passam a ser adotadas pela ABNT.