Segurança da Informação Flashcards

1
Q

As normas NBR ISO são traduções das normas ISO (internacionais) para o português e que passam a ser adotadas pela ABNT.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

ISO 27000: dispõe sobre a visão geral, o vocabulário utilizado no contexto de sistema de gerenciamento de segurança da informação e referencia as normas da família 27000.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

ISO 27001: especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

ISO 27002: especifica boas práticas para a gestão de um SGSI.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

ISO 27003: especifica diretrizes para a implantação de um SGSI, incluindo o processo de especificação e projeto do SGSI.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

ISO 27004: dispõe sobre o monitoramento, medição, análise e avaliação dos SGSI.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

ISO 27005: dispõe sobre a gestão de riscos de segurança da informação.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

ISO 27001

O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho e estrutura da organização.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

ISO 27001

Um SGSI deve preservar as propriedades da segurança da informação: confidencialidade, integridade e disponibilidade.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

As normas da família ISO 27000 são estabelecidas de maneira geral e se aplicam a todas as organizações independentemente.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

O Anexo A da ISO 27002 lista mecanismos de controle de segurança da informação que podem ser selecionados por uma organização.
Exemplos: criptografia, controle de acesso.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

ISO 27001

Requisito 4 - Contexto

Deve ser entendida a organização e seu contexto e determinar as questões internas e externas, entender as necessidades e expectativas das partes interessadas.
Com isso, determina-se o escopo do SGSI.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

ISO 27001

Requisito 5 - Liderança

A alta direção da organização deve estabelecer uma política de segurança da informação:

  • de acordo com o propósito da organização.
  • estabelecendo objetivos da SI.
  • comprometimento com a sua realização.
  • fornecendo a devida estrutura.
  • comprometimento com melhoria contínua.
A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

ISO 27001

Requisito 6 - Planejamento

Devem ser tomadas ações para contemplar riscos e oportunidades para:

  • assegurar que o SGSI poderá alcançar seus resultados.
  • reduzir efeitos indesejados.
  • alcançar melhoria contínua.
A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

ISO 27001

Requisito 7 - Apoio

A organização deve determinar e prover recursos para estabelecer, implementar, manter e melhorar continuamente o SGSI.

Incluindo:

  • treinamento dos funcionários.
  • conscientização.
  • comunicação.
  • documentação da informação.
A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

A ISO 27001 tem como requisito a documentação da informação, e deve ser assegurada a sua disponibilidade e proteção.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

ISO 27001

Requisito 8 - Operação

A organização deve planejar, implementar e controlar os processos necessários para atender os requisitos de segurança da informação, levando em conta os objetivos, riscos e oportunidades ligadas à segurança da informação.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

ISO 27001

A organização deve manter informação documentada na abrangência necessária com o intuito de gerar confiança de que os processos estão sendo realizados conforme planejado.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

ISO 27001

Requisito 8 - Operação

A organização deve definir e aplicar um processo de avaliação e tratamento de riscos, incluindo:

  • critérios para avaliação do risco de SI.
  • critérios para avaliação do desempenho.
  • critérios para aceitação do risco.
A
20
Q

ISO 27001

Requisito 9 - Avaliação do desempenho

A organização deve avaliar o desempenho e eficácia do SGSI.

Isso inclui:

  • determinar o que deve ser avaliado, incluindo controles e processos.
  • os métodos para monitoramento, medição e avaliação.
  • planejamento de quando e a frequência com que a avaliação é realizada.
  • os encarregados pela avaliação.
A
21
Q

ISO 27001

Requisito 9 - Avaliação do desempenho

A organização deve reter a informação documentada como evidência da realização do monitoramento e dos resultados da medição.

A
22
Q

ISO 27001

Requisito 9 - Avaliação do desempenho

A organização deve realizar auditorias internas para avaliar

  • a conformidade do SGSI com os requisitos por ela estabelecidos.
  • a conformidade com os requisitos da Norma 27000.
  • se o SGSI está efetivamente implementado e mantido.

A ocorrência e frequência das auditorias internas deve ser planejada.

A
23
Q

ISO 27001

Requisito 10 - Melhoria

Quando ocorre uma não conformidade, a organização deve:

  • tomar ações corretivas para controlar e corrigir.
  • tratar com as possíveis consequências.
A
24
Q

ISO 27001

Requisito 10 - Melhoria

A organização deve reter informação documentada como evidência da:

  • natureza das não conformidades e quaisquer ações subsequentes tomadas;
  • resultados de qualquer ação corretiva.
A
25
Q

A ISO 27002 é o código de boas práticas para segurança da informação, e é também uma referência na seleção de mecanismos de controle para implementação de um SGSI.

A
26
Q

ISO 27002

As principais fontes de requisitos de SI são:

  • avaliação de riscos.
  • requisitos da organização.
  • objetivos da organização.
  • legislação, contratos, estatutos.
A
27
Q

A ISO 27002 não estabelece requisitos, mas sim boas práticas que são recomendadas, porém não sendo obrigatórias.

A
28
Q

A ISO 27002 é composta de

  • 14 seções.
  • cada seção define um ou mais objetivos de controle.
  • para cada objetivo há um ou mais controles que podem ser aplicados para se alcançar este objetivo.
A
29
Q

ISO 27002

Seção 5 - Política de SI

É recomendado que seja definido uma política de segurança da informação, incluindo a definição dos objetivos, requisitos e princípios para guiar todas as atividades relativas à SI.

A
30
Q

ISO 27002

Seção 6 - Organização da SI

É recomendado estabelecer uma estrutura de gerenciamento, a fim de iniciar e controlar a implementação da segurança da informação dentro da organização.

As responsabilidades pela segurança da informação devem ser definidas e atribuídas.

A
31
Q

ISO 27002

Seção 6 - Organização da SI

É recomendado segregar funções e áreas de responsabilidade, com o intuito de não deixar acumular funções e muito controle em um único indivíduo, com o intuito de reduzir as oportunidades de modificação indevida.

A
32
Q

ISO 27002

Seção 6 - Organização da SI

Além da segregação de funções, é recomendado considerar outros mecanismos de controle, como monitoramento das atividades, auditoria e supervisão.

A
33
Q

ISO 27002

Seção 6 - Organização da SI

É recomendado que a segurança da informação seja considerada no gerenciamento de projetos, durante toda a vida do projeto, e independentemente do tipo.

  • os objetivos de SI devem ser contemplados nos objetivos do projeto.
  • avaliação de riscos de SI desde o início do projeto.
  • Si seja parte de todas as fases do projeto.
A
34
Q

ISO 27002

Seção 6 - Organização da SI

Também traz recomendações sobre o uso de dispositivos móveis, a fim de evitar que informações da organização não sejam comprometidas.

Inclui:

  • controle de acesso.
  • criptografia.
  • backup.
A
35
Q

ISO 27002

Seção 6 - Organização da SI

Quanto ao uso de dispositivos móveis, recomenda a separação do uso para fins pessoais e fins da organização, incluindo medidas de software para proteger os dados da organização até mesmo em dispositivo privado.

A
36
Q

ISO 27002

Seção 6 - Organização da SI

Também traz recomendações sobre trabalho remoto, a fim de evitar que informações da organização não sejam comprometidas.

Recomenda-se:

  • considerar a segurança nas comunicações.
  • evitar o armazenamento de informações em dispositivos pessoais.
  • provisão de acesso à intranet e estações de trabalho.
  • requisitos para os dispositivos, como antivírus e firewall.
A
37
Q

ISO 27002

Seção 7 - Segurança em recursos humanos

Estabelece diretrizes para assegurar que funcionários e partes externas entendam e cumpram suas responsabilidades e estejam em conformidade com a política de SI, inclusive antes, durante e após a contratação.

A
38
Q

ISO 27002

Seção 7 - Segurança em recursos humanos

Recomenda:

  • treinamento e conscientização do pessoal com relação à SI.
  • instruir todos os funcionários a praticar a SI de acordo com o estabelecido na política de SI da organização.
  • definir um processo disciplinar formal para tomar ações contra funcionários que tenham violado a política de SI.
A
39
Q

ISO

Seção 8 - Gestão de ativos

Recomenda a identificação dos ativos em inventário e a definição de responsabilidades para proteção dos ativos.

A
40
Q

ISO

Seção 8 - Gestão de ativos

Recomenda-se que se identifique os ativos e que se mantenha um inventário, monitorando todo o ciclo de vida da informação, incluindo criação, processamento, armazenamento, transmissão, exclusão e destruição.

O processo de compilação de um inventário é um pré-requisito importante para gestão de riscos.

A
41
Q

ISO

Seção 8 - Gestão de ativos

Recomenda que para cada ativo seja designado um responsável pelo ativo e uma classificação do ativo.

A
42
Q

ISO

Seção 8 - Gestão de ativos

Os ativos podem ser classificados quanto à sua proteção e restrição de acesso.

A
43
Q

ISO

Seção 8 - Gestão de ativos

Recomenda a definição, documentação e implementação de regras para o uso adequado de informações e dos ativos relacionados com a informação e seu processamento.

A
44
Q

ISO

Seção 8 - Gestão de ativos

Recomenda que todos os funcionários devolvam todos os ativos da organização após o término do contrato.

Nos casos em que um equipamento não é devolvido, é recomendado que toda a informação relevante seja transferida para organização e então apagada de forma segura.

A
45
Q

ISO

Seção 8 - Gestão de ativos

Recomenda a documentação de know-how e conhecimento dos funcionários, para que estas informações não sejam perdidas.

A