2012

Questes Comentadas ISO 27001

LhugoJr Verso 1.0 05/12/2012

TECNOLOGIA DA INFORMAO - QUESTES COMENTADAS CESPE/UNB http://www.dominandoti.com.br/livros TI SEGURANA DA INFORMAO PARA CONCURSOS NVEL AVANADO - http://socratesfilho.com/cursosteorico/seguranca-da-informacao-para-concursos/ Provas de TI www.provasdeti.com.br Tambm foram usadas outras fontes, como livros, comentrios do site Questes de Concursos, etc. Os comentrios so sempre feitos colocando as fontes encontradas, algumas questes so mais difceis de encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros. Espero que ajude. Abraos.

Introdua o

Vale ressaltar que alguns comentrios sobre as questes foram retiradas das seguintes fontes:

Essa a verso 1.0, sendo a maioria das questes da banca CESPE, com o tempo espero acrescentar muito mais questes. Caso encontre algum erro nesta verso pode mandar um e-mail para lhugojr@hotmail.com, colocando o nmero da questo e o erro encontrado. Voc tambm pode ajudar a melhorar os comentrios, alguns comentrios podem estar com o nvel fraco, isso ocorre quando no so encontradas fontes que tratam sobre o tema da questo. Caso voc encontre alguma fonte ou queira melhorar o comentrio mande um e-mail.

Notas da Versa o

LhugoJr

Pgina 1

1 ISO 27001
1.1 CESPE
(CESPE - TCU 2007 Analista de Controle Externo Tecnologia da Informao)
1) A ISO 17799 define diretrizes para certificao de que uma organizao est em conformidade prpria norma. Essa certificao conferida por meio de uma auditoria de terceira parte, nos moldes da ISO 19011. A ISO 17799 no define processo de certificao. Esse processo s foi definido na norma 27001:2006.

Portanto a questo est errada.

(CESPE SERPRO 2008 Analista Especialidade: Redes de Computadores)

2) A definio de critrios para aceitao de riscos uma das responsabilidades da alta administrao, segundo a norma NBR ISO/IEC 27001. Segundo a norma:
Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de aceitao de riscos precisa ser justificada e as evidncias de que os riscos associados foram aceitos pelas pessoas responsveis precisam ser fornecidas.

A questo est correta. a alta administrao que deve aceitar os riscos. 3) Para assegurar que os controles, objetivos de controle e processos sejam executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001 recomenda a realizao de auditorias externas em intervalos regulares de, no mximo, seis meses. A norma fala no item 4.2.3 Monitorar e analisar criticamente o SGSI:
e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seo 6). NOTA Auditorias internas, s vezes chamadas de auditorias de primeira parte, so conduzidas por ou em nome da prpria organizao para propsitos internos.

Ainda temos na 27001:

6 Auditorias internas do SGSI

A organizao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI: a) atendem aos requisitos desta Norma e legislao ou regulamentaes pertinentes; b) atendem aos requisitos de segurana da informao identificados; c) esto mantidos e implementados eficazmente; e d) so executados conforme esperado.

A norma no fala nada em auditoria externa e nem fala sobre o prazo. Portanto o item est errado. 4) Entre as atividades contempladas na fase agir (act) est a necessidade de identificar no-conformidades potenciais e suas causas, objetivando alcanar a melhoria contnua do sistema de gesto de segurana da informao. LhugoJr Pgina 2

Na norma podemos encontrar a seguinte figura e tabela:

Usando ainda o comentrio do professor Scrates: A identificao de aes corretivas e preventivas est compreendida na fase checar (check), pois fazem parte da etapa de monitorao e avaliao crtica do SGSI. J a execuo dessas aes, que englobam a melhoria do SGSI, est na fase agir (act). Portanto a questo est errada. 5) A norma NBR ISO/IEC 27001 recomenda a adoo de abordagem qualitativa para a realizao da anlise de risco. Na norma no foi encontrado nenhum recomendao sobre abordagem qualitativa ou quantitativa, a norma somente fala em anlise de risco. Portanto o item est errado.

(CESPE - ANATEL 2009 Analista Administrativo: TI Arquitetura de solues)

6) Considere as diferentes fases do ciclo de gesto no modelo da figura plan, do, check e act. A definio de critrios para a avaliao e para a aceitao dos riscos de segurana da informao que ocorrem no LhugoJr Pgina 3

escopo para o qual o modelo da figura est sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do. Na norma podemos encontrar a seguinte tabela:
Tabela B.1 Princpios da OECD e o modelo PDCA
Princpios da OECD Conscientizao Convm que os participantes estejam conscientes da necessidade de segurana de sistemas de informao e redes e do que eles podem fazer para aumentar a segurana. Responsabilidade Todos os participantes so responsveis pela segurana de sistemas de informao e redes. Resposta Convm que os participantes ajam de modo oportuno e cooperativo para prevenir, detectar e responder a incidentes de segurana da informao. Anlise/Avaliao de riscos Convm que os participantes conduzam anlises/avaliaes de risco. Arquitetura e implementao de segurana Convm que os participantes incorporem a segurana como um elemento essencial de sistemas de informao e redes. Gesto de segurana Convm que os participantes adotem uma abordagem detalhada para a gesto da segurana. Correspondncia entre o processo do ISMS e a fase do PDCA Esta atividade parte da fase Fazer (Do) (ver 4.2.2 e 5.2.2).

Esta atividade parte da fase Fazer (Do) (ver 4.2.2 e 5.1).

Esta , em parte, uma atividade de monitorao da fase Checar (Check) (ver 4.2.3 e 6 a 7.3) e uma atividade de resposta da fase Agir (Act) (ver 4.2.4 e 8.1 a 8.3). Isto tambm pode ser coberto por alguns aspectos das fases Planejar (Plan) e Checar (Check). Esta atividade parte da fase Planejar (Plan) (ver 4.2.1) e a reanlise/reavaliao dos riscos parte da fase Checar (Check) (ver 4.2.3 e 6 at 7.3). Uma vez finalizada a anlise/avaliao de riscos, os controles so selecionados para o tratamento dos riscos como parte da fase Planejar (Plan) (ver 4.2.1). A fase Fazer (Do) (ver 4.2.2 e 5.2) ento cobre a implementao e o uso operacional destes controles. A gesto de riscos um processo que inclui a preveno, deteco e resposta a incidentes, atuao, manuteno, anlise crtica e auditoria. Todos estes aspectos so cercados nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir (Act). A reanlise/revaliao de segurana da informao uma parte da fase Checar (Check) (ver 4.2.3 e 6 at 7.3), onde anlises crticas regulares devem ser realizadas para verificar a eficcia do sistema de gesto de segurana da informao, e a melhoria da segurana parte da fase Agir (Act) (ver 4.2.4 e 8.1 a 8.3).

Reavaliao Convm que os participantes analisem criticamente e reavaliem a segurana dos sistemas de informao e redes, e faam as modificaes apropriadas nas polticas de segurana, prticas, medidas e procedimentos.

Portanto a questo est errada. A definio de critrios para aceitao e avaliao dos riscos deve ocorrer na Fase Plan.

(CESPE Ministrio do Desenvolvimento Social - 2008 Tcnico de Nvel Superior (Nvel V TI))
7) Uma organizao que reivindica conformidade com a norma ISO 27001 deve implementar pelo menos os requisitos necessrios para o estabelecimento do sistema de gesto de segurana da informao (SGSI). Usando o comentrio do professor Scrates:

LhugoJr

Pgina 4

Ela deve implementar todos os requisitos para o estabelecimento do SGSI, para alegar que est em conformidade com a ISO/IEC 27001. A no conformidade em qualquer das sees, em regra, significa que a empresa no pode ser certificada como ISO 27001. No confunda requisitos com os controles, j que estes podem no ser implementados desde que devidamente justificados na Declarao de Aplicabilidade.

(CESPE ANAC 2009 Analista Administrativo Tecnologia da Informao)

8) Na implementao e operacionalizao do sistema de gesto de segurana da informao, deve-se medir a eficcia dos controles propostos. Na norma 27001, 4.2.2 Implementar e operar o SGSI:
A organizao deve: a) Formular um plano de tratamento de riscos que identifique a ao de gesto apropriada, recursos, responsabilidades e prioridades para a gesto dos riscos de segurana (ver seo 5). b) Implementar o plano de tratamento de riscos para alcanar os objetivos de controle identificados, que inclua consideraes de financiamentos e atribuio de papis e responsabilidades. c) Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle. d) Definir como medir a eficcia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficcia dos controles de modo a produzir resultados comparveis e reproduzveis (ver 4.2.3c)).

O gabarito foi dado como correto, mas temos no item 4.2.3 Monitorar e analisar criticamente o SGSI:
c) Medir a eficcia dos controles para verificar que os requisitos de segurana da informao foram atendidos.

Portanto o gabarito est duvidoso, porque na Implementao e operao fala-se em definir como medir..., j no item Monitorar e analisar, fala-se em medir a eficcia. 9) O sistema de gesto de segurana da informao o sistema global de gesto, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurana da informao. Na norma podemos achar a seguinte definio:
Sistema de gesto da segurana da informao (SGSI) a parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao

Portanto o item est errado. SGSI no o sistema global e sim parte dele. 10) Disponibilidade a garantia de que a informao acessvel ou revelada somente a pessoas, entidades ou processos autorizados a acess-la. Vamos as definies encontradas na norma:
Disponibilidade - propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada Confidencialidade - propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados

A questo est errada, ela trocou confidencialidade por disponibilidade. 11) A poltica de segurana da informao dispe de regras relativas ao estabelecimento do frum multifuncional para coordenao da segurana da informao. LhugoJr Pgina 5

No foi encontrado nada na norma que fala sobre estabelecimento de frum multifuncional. Portanto item errado.

(CESPE - TCU 2009 Auditor Federal de Controle Externo Tecnologia da Informao)

12) Entre os documentos e registros cujo controle demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declarao da poltica de segurana, o relatrio de anlise/avaliao de risco e a declarao de aplicabilidade; alm disso, destacam-se como registros os livros de visitantes, os relatrios de auditoria, as ocorrncias de incidentes de segurana e outros registros, inclusive de no conformidade. Resumindo, sim estes documentos so encontrados na 27001. Portanto o item est correto. Vamos resumir o que est escrito. DOCUMENTOS REGISTROS Livros de visitantes; Relatrios de auditoria; Ocorrncias de incidentes de segurana; Outros registros. Declarao da poltica de segurana; Relatrio de anlise/avaliao de risco; Declarao de aplicabilidade

(CESPE TRE/PR 2009 Analista Judicirio Especialidade: Anlise de Sistemas)

13) Tomar as aes corretivas e preventivas para alcanar a melhoria contnua, com base nos resultados da auditoria interna do SGSI, na reviso gerencial ou em outra informao pertinente, faz parte da fase do planejamento do SGSI. As aes corretivas e preventivas faz parte da fase ACT (Manuteno e melhoria). Questo errada.
Plan (planejar) (estabelecer o SGSI) Estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao. Implementar e operar a poltica, controles, processos e procedimentos do SGSI. Avaliar e, quando aplicvel, medir o desempenho de um processo frente poltica, objetivos e experincia prtica do SGSI e apresentar os resultados para a anlise crtica pela direo.

Do (fazer) (implementar e operar o SGSI) Check (checar) (monitorar e analisar criticamente o SGSI)

Act (agir) (manter e melhorar o SGSI) Executar as aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.

LhugoJr

Pgina 6

(CESPE IJSN/ES 2010 Especialista em Estudos e Pesquisas Governamentais Informtica e Gesto da Informao)
14) A norma ISO 27001 indica que uma poltica global de segurana da informao deve ser estabelecida antes da elaborao de uma declarao de aplicabilidade de controles de segurana, mas somente aps a realizao de uma anlise/avaliao de risco formal. Segundo o professor Scrates Filho: A declarao de aplicabilidade de controles de segurana deve ser estabelecida aps a realizao de uma anlise/avaliao de risco formal. Na norma, 4.2 Estabelecendo e gerenciando o SGSI, temos a seguinte sequncia: a) Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer excluses do escopo; b) Definir uma poltica do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia c) Definir a abordagem de anlise/avaliao de riscos da organizao. d) Identificar os riscos. e) Analisar e avaliar os riscos. f) Identificar e avaliar as opes para o tratamento de riscos. g) Selecionar objetivos de controle e controles para o tratamento de riscos. h) Obter aprovao da direo dos riscos residuais propostos. i) Obter autorizao da direo para implementar e operar o SGSI. j) Preparar uma Declarao de Aplicabilidade. Podemos ver que est errado a sequncia proposta na questo.

(CESPE ANEEL 2010 Analista Administrativo rea 3 Tecnologia da Informao)

15) Os objetivos de controle e os controles pertinentes e aplicveis ao SGSI da organizao devem ser selecionados exclusivamente com base nos resultados e concluses dos processos de anlise/avaliao de riscos e de decises acerca de como controlar, evitar, transferir ou aceitar tais riscos. O professor Scrates fala sobre esta questo: Os objetivos de controle e os controles deve ser selecionados com base nos resultados dos processo de anlise/avaliao de riscos e das decises de como tratar os riscos, mas a organizao pode utilizar outros critrios (requisitos de conformidade legal, por exemplo) para essa seleo. 16) A classificao, a aposio de rtulos e o tratamento de um ativo de informao, em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organizao, so efetuados pelos usurios desse ativo. Segundo a norma:
Um conjunto apropriado de procedimentos para rotular e tratar a informao deve ser definido e implementado de acordo com o esquema de classificao adotado pela organizao.

LhugoJr

Pgina 7

Portanto a questo est errada, a classificao, rotulao feita pela organizao. 17) Para cada usurio ou grupos de usurios, deve ser efetuada uma poltica de controle de acesso com regras e direitos, com os controles de acesso lgico e fsico bem integrados. Uma daquelas questes que so boa para aprender. O gabarito correto. Portanto vale memorizar esta questo.

(CESPE TCU - 2010 - Auditor Federal de Controle Externo Tecnologia da Informao)

18) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gesto da segurana da informao (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as aes corretivas e preventivas para alcanar a melhoria contnua do SGSI. Usando mais uma vez a tabela:
Plan (planejar) (estabelecer o SGSI) Estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao. Implementar e operar a poltica, controles, processos e procedimentos do SGSI. Avaliar e, quando aplicvel, medir o desempenho de um processo frente poltica, objetivos e experincia prtica do SGSI e apresentar os resultados para a anlise crtica pela direo.

Do (fazer) (implementar e operar o SGSI) Check (checar) (monitorar e analisar criticamente o SGSI)

Act (agir) (manter e melhorar o SGSI) Executar as aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.

Percebemos que a questo est errada. 19) Esto entre os objetivos da segurana da informao a garantia da continuidade do negcio, a minimizao dos riscos para o negcio e a maximizao do retorno sobre os investimentos. Mas um daquelas questes que vale a pena lembrar. Vamos melhorar o aprendizado: GARANTIA DA CONTINUIDADE DO NEGCIO MINIMIZAO DOS RISCOS MAXIMIZAO DO RETORNO SOBRE OS INVESTIMENTO 20) (SERPRO/Analista/Negcios em Tecnologia da Informao/2010) Segundo a NBR 27001, um sistema de gesto da segurana da informao apresenta o seguinte ciclo: estabelecimento, implementao e operao, monitoramento e reviso, e manuteno e melhoria do sistema. Segundo o professor Gleyson Azevedo: LhugoJr Pgina 8

NBR ISO/IEC 27001:2006 composto das seguintes fases: estabelecimento, implementao e operao, monitoramento e anlise crtica, manuteno e melhoria. Portanto esta questo est errada. Mas ela foi anulada. 21) (MCT/Tecnologista Jr/2008) Dependendo de seu tamanho ou natureza, uma organizao pode considerar um ou mais requisitos da norma ISO 27001 como no-aplicveis e, ainda assim, continuar em conformidade com essa norma internacional. No item 1.2 Aplicao, a 27001 fala:
Os requisitos definidos nesta Norma so genricos e pretendido que sejam aplicveis a todas as organizaes, independentemente de tipo, tamanho e natureza. A excluso de quaisquer dos requisitos especificados nas sees 4, 5, 6, 7, e 8 no aceitvel quando uma organizao reivindica conformidade com esta Norma.

Portanto questo errada. 22) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) A organizao deve fazer anlises crticas com o objetivo de identificar tentativas e violaes de segurana bem-sucedidas, sendo esta uma atividade verificada na fase check (checar). No item 4.2.3 Monitorar e analisar criticamente o SGSI:
A organizao deve: a) Executar procedimentos de monitorao e anlise crtica e outros controles para: 1) prontamente detectar erros nos resultados de processamento; 2) prontamente identificar tentativas e violaes de segurana bem-sucedidas, e incidentes de segurana da informao; 3) permitir direo determinar se as atividades de segurana da informao delegadas a pessoas ou implementadas por meio de tecnologias de informao so executadas conforme esperado; 4) ajudar a detectar eventos de segurana da informao e assim prevenir incidentes de segurana da informao pelo uso de indicadores; e 5) determinar se as aes tomadas para solucionar uma violao de segurana da informao foram eficazes.

Portanto a questo est correta. 23) (ANTAQ/Analista Administrativo/Informtica/2009) As normas ABNT NBR ISO/IEC 27001:2006 e ABNT NBR ISO/IEC 17799:2005 enunciam um mesmo conjunto de mais de cento e trinta controles de segurana, os quais, por sua vez, so agrupados em mais de 30 objetivos de controle, sendo a primeira das normas de redao mais abstrata que a segunda e com estrutura de sees parcialmente correspondente da norma ABNT NBR ISO 9001:2000. Usando como comentrio, o professor Gleyson Azevedo:
Anulada. As normas 27001 (anexo A) e 27002 possuem um mesmo conjunto de 133 controles e 39 objetivos de controle. A norma 27001, por ser gerencial e no um cdigo de prtica, possui redao mais abstrata do que a 27002 e sua estrutura possui correlao com a norma ISO 9001:2000 (ABNT, 2006, pp. 32-33). A despeito disso, a banca anulou a questo alegando a presena de ambiguidade no texto, evidenciada pela expresso a primeira das normas, haja vista que o leitor poderia ficar em dvida se a questo estava se referindo primeira citada no texto ou que foi primeiro publicada.

LhugoJr

Pgina 9

24) (PREVIC/Analista Administrativo/Tecnologia da Informao/2011) Uma poltica de segurana eficaz parte da premissa do uso efetivo de um conjunto de ferramentas de segurana, como firewalls, sistemas de deteco de intrusos, validadores de senha e criptografia forte. Vamos mais uma vez usar o comentrio do professor Gleyson Azevedo: A eficcia da poltica de segurana, bem como sua pertinncia e adequao, no est associada utilizao de ferramentas especficas, mas a um processo de constante avaliao e implementao de ajustes, fundamentados na realizao de anlises crticas a intervalos planejados ou quando mudanas significativas ocorrerem (ABNT, 2005, p. 9). Portanto a questo est errada.
25)

(CESPE - 2012 - TRE-RJ - Analista Judicirio - Anlise de Sistemas) A poltica de segurana da informao integra o SGSI e a diretriz para a implementao dessa poltica detalhada na referida norma.

A 27001 no possui as diretrizes, e sim os requisitos para aplicao da SGSI. Portanto a questo est errada. Usando uma definio da 27002, temos:
Diretriz - descrio que orienta o que deve ser feito e como, para se alcanarem os objetivos estabelecidos nas polticas

26) (CESPE - 2012 - TRE-RJ - Analista Judicirio - Anlise de Sistemas ) De acordo com o estabelecido na mencionada norma, a organizao, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informao e a abordagem para a avaliao de riscos. A norma no item 4.2.1 Estabelecer o SGSI, nada fala em definir um plano diretor, segue o que est na norma (resumidamente):
A organizao deve: a) Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer excluses do escopo (ver 1.2); b) Definir uma poltica do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia que d) Identificar os riscos. e) Analisar e avaliar os riscos. f) Identificar e avaliar as opes para o tratamento de riscos. g) Selecionar objetivos de controle e controles para o tratamento de riscos. h) Obter aprovao da direo dos riscos residuais propostos. i) Obter autorizao da direo para implementar e operar o SGSI. j) Preparar uma Declarao de Aplicabilidade.

Portanto a questo est errada 27) (CESPE - 2012 - TJ-AL - Analista Judicirio - Anlise de Sistemas )Com base na NBR ISO/IEC n. 27.001/2006, assinale a opo correta acerca de definies relacionadas gesto de segurana da informao. a) O sistema de gesto da segurana da informao (SGSI), componente do sistema de gesto global que se fundamenta na abordagem de riscos do negcio, responsvel pelo estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e melhoramento da segurana da informao.

LhugoJr

Pgina 10

b) Gesto de riscos consiste no processo de comparar o risco estimado com os critrios de risco predefinidos, a fim de determinar a importncia do risco. c) Evento de segurana da informao um evento (ou uma srie de eventos) que ocorre de maneira indesejada ou inesperada, podendo comprometer as operaes do negcio e ameaar a segurana da informao. d) O incidente de segurana da informao consiste em um incidente que, caso seja identificado em um estado de sistema, servio ou rede, indica a ocorrncia de uma possvel violao da poltica de segurana da informao, bem como de uma falha de controles ou de uma situao previamente desconhecida que possa ser relevante segurana da informao e) Confidencialidade corresponde propriedade de classificar uma informao sigilosa como confidencial. Segundo a norma temos:
Sistema de gesto da segurana da informao (SGSI) a parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para Gesto de riscos - atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos Avaliao de riscos - processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco Evento de segurana da informao - uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao Incidente de segurana da informao - um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao Confidencialidade - propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados

Portanto a questo correta a letra A. 28) (CESPE - 2012 - TJ-AL - Analista Judicirio - Anlise de Sistemas) Com base na NBR ISO/IEC n. 27.001/2006, assinale a opo correta em relao s auditorias internas do sistema de gesto da segurana da informao (SGSI). a) Em um processo de auditoria interna os auditores auditam seu prprio trabalho. b) Em uma auditoria interna, a definio das responsabilidades e dos requisitos dispensvel para o planejamento e a execuo de um procedimento documentado. c) As atividades de acompanhamento devem abranger a verificao das aes executadas e o relato dos resultados de verificao. d) O responsvel pela rea a ser auditada deve assegurar que as aes sejam executadas com qualidade, para eliminar as no conformidades detectadas e as suas causas, no importando a quantidade de tempo despendido. e) A objetividade e a imparcialidade so princpios que devem ser observados na seleo dos auditores; na execuo de auditorias, contudo, em virtude de a auditoria ser uma atividade caracterizada pela discricionariedade, esses princpios no devem ser plenamente adotados. Usando a 27001, temos: LhugoJr Pgina 11

6 Auditorias internas do SGSI

A organizao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI: a) atendem aos requisitos desta Norma e legislao ou regulamentaes pertinentes; b) atendem aos requisitos de segurana da informao identificados; c) esto mantidos e implementados eficazmente; e d) so executados conforme esperado. Um programa de auditoria deve ser planejado levando em considerao a situao e a importncia dos processos e reas a serem auditadas, bem como os resultados de auditorias anteriores. Os critrios da auditoria, escopo, frequncia e mtodos devem ser definidos. A seleo dos auditores e a execuo das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores no devem auditar seu prprio trabalho. As responsabilidades e os requisitos para planejamento e para execuo de auditorias e para relatar os resultados e a manuteno dos registros (ver 4.3.3) devem ser definidos em um procedimento documentado. O responsvel pela rea a ser auditada deve assegurar que as aes sejam executadas, sem demora indevida, para eliminar as noconformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a verificao das
aes executadas e o relato dos resultados de verificao (ver seo 8).

Portanto o gabarito letra C 29) (CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas) Deve ser includa na documentao do sistema de gesto de segurana da informao a identificao dos colaboradores da empresa. No item 4.3 Requisitos de documentao, temos:
A documentao deve incluir registros de decises da direo, assegurar que as aes sejam rastreveis s polticas e decises da direo, e assegurar que os resultados registrados sejam reproduzveis. importante que se possa demonstrar a relao dos controles selecionados com os resultados da anlise/avaliao de riscos e do processo de tratamento de riscos, e conseqentemente com a poltica e objetivos do SGSI. A documentao do SGSI deve incluir: a) declaraes documentadas da poltica (ver 4.2.1b)) e objetivos do SGSI; b) o escopo do SGSI (ver 4.2.1a)); c) procedimentos e controles que apoiam o SGSI; d) uma descrio da metodologia de anlise/avaliao de riscos (ver 4.2.1c)); e) o relatrio de anlise/avaliao de riscos (ver 4.2.1c) a 4.2.1g)); f) o plano de tratamento de riscos (ver 4.2.2b)); g) procedimentos documentados requeridos pela organizao para assegurar o planejamento efetivo, a operao e o controle de seus processos de segurana de informao e para descrever como medir a eficcia dos controles (ver 4.2.3c)); h) registros requeridos por esta Norma (ver 4.3.3); e i) a Declarao de Aplicabilidade.

Portanto a questo est errada, porque a questo no fala em identificao dos colaboradores da empresa. 30) (CESPE - 2011 - PREVIC - Analista de Tecnologia da Informao) A organizao deve fazer anlises crticas com o objetivo de identificar tentativas e violaes de segurana bem-sucedidas, sendo esta uma atividade verificada na fase check (checar). Essa questo repetida, mas vale a pena decorar ela. LhugoJr Pgina 12

No item 4.2.3 Monitorar e analisar criticamente o SGSI:

A organizao deve: a) Executar procedimentos de monitorao e anlise crtica e outros controles para: 1) prontamente detectar erros nos resultados de processamento; 2) prontamente identificar tentativas e violaes de segurana bem-sucedidas, e incidentes de segurana da informao; 3) permitir direo determinar se as atividades de segurana da informao delegadas a pessoas ou implementadas por meio de tecnologias de informao so executadas conforme esperado; 4) ajudar a detectar eventos de segurana da informao e assim prevenir incidentes de segurana da informao pelo uso de indicadores; e 5) determinar se as aes tomadas para solucionar uma violao de segurana da informao foram eficazes.

Portanto questo correta. 31) (CESPE - 2010 - TRT - 21 Regio (RN) - Analista Judicirio - Tecnologia da Informao) A fim de proteger a integridade do hardware e da informao, devem ser implantados, em locais apropriados, controles de deteco, preveno e recuperao para proteger contra cdigos maliciosos, assim como procedimentos para a devida conscientizao dos usurios. Na 27001, no anexo, podemos encontrar:
A.10.4 Proteo contra cdigos maliciosos e cdigos mveis Objetivo: Proteger a integridade do software e da informao. A.10.4.1 Controle contra cdigos maliciosos Controle Devem ser implantados controles de deteco, preveno e recuperao para proteger contra cdigos maliciosos, assim como procedimentos para a devida conscientizao dos usurios.

A questo trocou software por hardware, portanto questo errada. 32) (CESPE - 2010 - Banco da Amaznia - Tcnico Cientfico - Tecnologia da Informao - Segurana da Informao) Anlises crticas devem ser executadas em nveis de profundidade distintos e se apiam nas anlises de riscos anteriormente realizadas. As probabilidades de falhas so embasadas, entre outros, nas ameaas e vulnerabilidades mais frequentes e nos controles implementados. Nesta questo vamos usar o comentrio de dois usurios do QC.
Marco Aurlio Americo de Azevedo

Avaliao da Probabilidade: Convm levar em conta a frequncia da ocorrncia das ameaas e a facilidade com que as vulnerabilidades podem ser exploradas, considerando dados como a experincia passada, estatstica, motivao e competncia de ameaas intencionais, fatores geogrficos de ameaas acidentais, vulnerabilidades e os controles existentes e sua eficcia.
Leonardo Marcelino Teixeira

Anlises crticas devem ser executadas em nveis de profundidade distintos OK, como h nveis diversos de complexidade, correto que haja nveis de profundidade distintos. e se apiam nas anlises de riscos anteriormente realizadas. OK, apesar de considerar auditorias, incidentes e mtricas, a base para todo o SGSI a anlise/avaliao de riscos. As probabilidades de falhas so embasadas, entre outros, nas ameaas e vulnerabilidades mais frequentes e nos controles implementados. OK, conforme excelente comentrio do Marco Aurlio.

LhugoJr

Pgina 13

Portanto a questo est correta. 33) (CESPE - 2009 - INMETRO - Analista Executivo em Metrologia e Qualidade - Desenvolvimento de Sistemas - Parte II) A anlise crtica e peridica da poltica de segurana da informao de uma organizao, conforme preconizada pelas normas NBR ISO/IEC 27001 e NBR ISO/IEC 17799, deve ser uma ao de responsabilidade dos gestores de segurana dessa organizao. Essa questo podemos responder pelo item 7 Anlise crtica do SGSI pela direo:
A direo deve analisar criticamente o SGSI da organizao a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contnua pertinncia, adequao e eficcia. Esta anlise crtica deve incluir a avaliao de oportunidades para melhoria e a necessidade de mudanas do SGSI, incluindo a poltica de segurana da informao e objetivos de segurana da informao. Os resultados dessas anlises crticas devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3).

Portanto a questo est errada.

1.2 Outras bancas

34) (INSTITUTO CIDADES - 2012 - TCM-GO - Auditor de Controle Externo - Informtica) De acordo com a ISO27001, norma que define os requisitos de um sistema de gesto de segurana da informao, no faz parte do processo de identificao dos riscos: a) Estimar os nveis de riscos; b) Identificar os impactos que perdas de confidencialidade integridade e disponibilidade podem causar aos ativos; c) Identificar as ameaas para esses ativos; d) Identificar as vulnerabilidades que poderiam ser exploradas pelas ameaas; e) Identificar os ativos dentro do escopo do SGSI, e os proprietrios destes ativos. No item 4.2.1 Estabelecer o SGSI, temos:
(...)

d) Identificar os riscos. 1) Identificar os ativos dentro do escopo do SGSI e os proprietrios2) destes ativos. 2) Identificar as ameaas a esses ativos. 3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaas. 4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. e) Analisar e avaliar os riscos. 1) Avaliar os impactos para o negcio da organizao que podem resultar de falhas de segurana, levando em considerao as conseqncias de uma perda de confidencialidade, integridade ou disponibilidade dos ativos. 2) Avaliar a probabilidade real da ocorrncia de falhas de segurana luz de ameaas e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados. 3) Estimar os nveis de riscos. 4) Determinar se os riscos so aceitveis ou se requerem tratamento utilizando os critrios para aceitao de riscos estabelecidos em 4.2.1c)2).

Sendo assim, o gabarito da questo letra A. LhugoJr Pgina 14