0 governo federal brasileiro adota uma classificacdo de informaBes regulada pelo Decreto nt 4.553, de 27 de dezembro de 2002. Nessa norma, 3 informario é assim classificada de acordo como grau de siglo (da mais para a manos sigs): + ultrassecreta ~ dados ou informades referantes soberania e@ intagridade territorial nacionsis, = planos operagdes militares, is relagdes internacional do Pas, a projetos de pesquisa e desenvolvimento cientifico @ ‘ecnoligic de interesse da defesz nacional e2 programas econdmicos cua conhecimente ndo-autarizeds possa acarretar dano excepcionalmente grave &seguranca da sociedade edo Estado; + secreta~ dados ov informagSesreferentes sister, instalagSes, rogramas, projetos, planos ou operagdes de interesse da defesa nacional, a assuntosdiplométicos ede intelgénca ea planos ou detathes, programas ou instalapes estratégicas, cu conhacimanto nfo autarisado posse acarrtar dan grave & seguranga da sociedade e do Estado + confidencial - casos ou informasSes que, no intarasse de Pader Executiva # das partes, devam serge: conhecimento restito e cua revelagdo ndo-sutorizada posse frustrar seus objetivos ou acarretar dano @ seguranga da sociedade e do Estado. + reservada~ dadas ou informacdes cu revelagSo no-sutorizada posse comprometerplanos, aperacSes ou bjetivos neles prevstos ou referidos. Devemos ent levar em consideracio o principio do malar siglo. (CESPE— TCU 2009 - Auditor Federal de Controle Extemo ~ Tecnologia da Informacao) Alista abaixo apresenta os titulos das sees da norma ABNT NBR ISO/IEC 27002 (17738), que contém um guia das melhores priticas em gestio da segurana da informacio. Tais se¢Ges possuem correspondente registro no anexo A da norma ABNT NBR ISO/IEC 27001, defininde grupos de objetivos de controles @ controles de seguranga que pociem ser implementados. S Politica de Segurancs6 Organizando 2 Seguranca da Informacao 7 Gestdo de Ativos 8 Seguranga em Recursos Humanos 3 Seguranca Fisica e do Ambiente 10 Gerenciamento das Operagies e Comunicagées 1 Controle de Acessos 12 Aquisiclo, Desenvolvimento e ManutencSo de Sistemas de Informacio 13 Gestio de Incidentes de Seguranca da Informacio 1d Gestio da Continuidade do Negécio 15 Conformidade Nos itens de 177 2180, julgue as propostas de associagdo entre conceitos ou préticas de seguranca.e as seqGes da norma ABNT NBR ISO/IEC 27002, 16) 0 emprego de um ambiente computacional dedicado isolado, bem come a bindagem eletromagnitica © ¢ levantamento dos ativos envelvides em processoscrticos sfo abordagens diretarmente associadas 20 Controle de Acessos, & Seguranca Fisica e do Ambiente e 8 Gestdo da Continuidade do Negécio, respectivamente. va 27002 tamoe Torso ocene w b) identfcagdo de todas os ativos envolvides em processoscricos de negécio (ver 71.4) Portanto. item esté correo, 17) A configuragio de protecdes de tela bloqueadas por senha eo uso de firewalls @ sistemas de deteccdo Ge intrusos sio aces apenas indiretamente igadas & gestio de Incidentes de Seguranca da Informago @& Conformidade, respectivamente. No foi achado nenhuma biografia sobre esta questo, mas se car ce novo deve ser considerado certo. 1é que co gabarito final foi este18) A protegéo de registros organizacionais, entre eles o registro de visitantes,constitui uma prética iretamente associada & Segurance Fisica e do Ambiente, embora, no caso especifico do registro de Visitantes, erteja prescrita vieando o aleance da Seguranga em Recursos Humanos Noitem 2.1.2 Controle de an sca (9 Segurance sca} 151 ado hora de entre sled vistontes seam reqitredes,e tds ox vsitnte stom supevionades. 9: ++ {que oseusceso tenha si prevament sprovsco convém que as pesmsies Ge acess sem conceicesSomente D8 fa Poranto 2 quest (CESPE - TRE/PR - 2009 — Analista Judicidrio - Especialidade: Andlise de Sistemas) 19) Os gastos com os controles no necessitam ser balanceados de acordo com o negécio. ‘Temas no item 0.4 Analisando/avaliande of riscos de seguranga da informasio: duinformare, a Tavalagis Wain dor acs aga (CESPE - Banco da Amazénia - 2010 - Técnico Cientifico - Especialidade: Tecnologia da Informagao — Redes e Telecomunicagdes) 20) A politica de seguranca cumpre trésprincipais funges define o que e mostra por que se deve proteger: atribui responsabilidades pela protecio; e serve de base para interpreta situagdes e resolver confitos que venham 2 surgirno futuro. No fi encontraca nenhuma bibl obre0 assunto, O gabarito& correto.Portanto vale lembrar de Ses da PSI Define o que e mostra por que se deve proteger; ‘+ atribui responsabildadas pala protapdo; (serve de base para interpretarsituacBes @ resolves sm a surgirno future, (CESPE - Banco da Amazénia - 2010 - Técnico Cientifico - Especialidade: Tecnologia da Informagao — Seguranca da Informacao) 21) Um incidente de segurance da informaro refere-se 2 um ou mais riscas no desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informacio e amearam a seguranca da informaczo.Segundo 8 norma no item 2 Termos # definigBas teres: Insider de egurange de informal um Haidens de segue ds Wlarnayio inacado porn angles cu por on we de opera: do negicc e wmenar scezurmca de informaic. ‘Aeon eure potence de umincdente ndereade, ue Pode ela Gano pre Om SEES OU RTE. Portantoo item esté errado. O termo referido na questio estd se referindo 3 ameaca, a Caeser dum incidente indesejd. Pade resultar em DANO 22) So exemplos de ativos de uma organizagio a informagio e ox processes de apoio, sistemas. redes. Os requisites de segurancs, em uma organizacio, io dentifiados por meio de andlise ssteméties dos viscos de seguranca. No tem 0.4 Analsenda/avaiando os rscos de seguranca ds informacio, temo: ‘Agora no tem 0.2 Por que a seguranca da informagio & nacessiria? Temes: func dca, s ertvigede, owe naimerta nor cequtcs guise sieger Serge ut Portanto a questio esté coreta 23) Entre os atives associados a sistemas de informacio em uma arganizacdo, incluem-se as bases de dados « arquivos, of aplicatives eos equipamentos de comunicaglo (coteadores, secretdrias eletrGnicas etc). Segundo o professor Sécrates Filho: (Oz stivas de uma orgenizasio devam estar ligados aos negdécios dela, Seo: apicativas equipamentos nfo tiverem ligecio com os negécios, eles ndo podem ser cassficados como atvos associados aos sistemas de informagia, como no cato das secretérae aletrGnicat.Portanto a questio esté ervads. ‘Agora falando da norma el no item 7.1.1 Inventério dos ativos (7 Gestdo das ative), ct atv de softwere: spats, sistemas ferramentas de deenvalvimento uti, ¢) sce fier equpementer computaionsi, euparentor de comaricarie, mis removes ecu equipamenters )senizersenigae de computers ecomunicacSe,shcnder gern, pr ekempo squecimenta, umineia, setae ©cypeiseze ans quaicagies heblcadesc expen, Ainengies tis como a reputasio ea imager de cgeicsio, 2) Uma organizacio deve ser capaz de inventariar seus ativos, dentifcar seus respectives walores @ importéncias e indicar um proprietério responsével por eles. Ainformacdo deve ser cassficada em termos de sua utiidade, adequabilidade enivel de seguranca. ‘Anorma 27002 fala no item 7.2.1 RecomendarBes para classifcaclo (7 Gest lo de atvos) Portanto a questio estéincorret. 25) é conveniente que, na cassiticagdo das informagGes e seu respective controle de protesdo, considerem- se.as necessidades de compartilhamento ou restrgio de informacées. Ao se tornar piblica, uma informacio frequentemente deixa de ser sensivel ou critica Anda no item 7.2.1 RecomendacBes para classificacio (7 Gestdo de aves: (Convém que exer apector jam nvador em conicerara, pis ume destino uperezimee pode lever Implemented castes derncasro, eatanda tm despa edico Portanta 2 questie esté cera 26) Recomends-se que as responsabilidades de seguranca sejam atrbuidas nas fases de selegdo de pessoal, Incluidas em acordas informais de trabalho e menitoradas durante a vigéncia de cada contrato de trabalho. Esta questio esti baseada no item 8 Seguranga em recursos humanos. ‘Convém que as responsabiidades pela seguranga da informagdo sejam siribuldas antes da contatagao, de forma adequada,nas descrigdes de cargos e nos termos e condigies de contratagio. CConvém que todos o5 funcionsrios, fornecedores e teceiros, usuarios dos recursos de processamento da informagao, assinem 2eordos sobre seus papéis eresponsablidades pela seguranga da informacao. Portanto 2 questio estéerrato, jf que 2 norma no fala nada em acordes INFORMAIS. 27) 0 documento da politica de controle de acesso contém as politcas para autorizaglo distribuiglo de controle de acesso.£ recomendlivel a existéncia de um procedimento formal de registro e cancelamento de usudrio para cbtencio de acesso a todos os smultiusudrios temas de informago e servigos, com exceed dos sistemas Segundo o professor Séerates Fhe: A politica de controle de acesso nio tem politicas de dstribuicdo do controle de acesso, apenas as poitcas para autorizacio, Binds na norma tamos Convtan ge pale ve canlerafis os apn RE ninforari,poresemplo,oprinisie need £0 know e aves de segura ©a Portanto 2 questio esté errada, 28) Priviégio & qualquer caracteristica ou facade de um sistema de informaglo multiususrio que permita 20 usuério sobrepor controles do sistema ou aplicacéo. A concessSo e uso de privilgios deve ser restrto e controlado, sua utlizacio inadequadsa é considerada fator de wulnerabilidade de sistemas. ‘Anorma no item 11.2.2 Gerenciamento de privilégios (11 Controle de acesso} Convim que a concessdo @0 uso de privilégios sejam restilos © conrolades. O item esti correto.Ainda devemos aprender a nosio de pivlégio. \sudri sebraper contrales do sistema ou epicasle. qualquer caracterstca ou facade de um sistema de informagio multivsuério que permite 20 25) As senhas fornecem um meio de vaidagdo da autoridade do usuério e 0 estabelecimento dos direitos de acesso para os recursos ou servicos deleitura da informagéo. norma fal que: Outrestecralopias pre identierio deriva eautetcaio, = Porras de it erase de uray er de ten por exempta © professor Sderatas Filho, ainda cite: ‘As senhas fetem apenas a valdagdo ao acesso aos recursos ou serviges de informasio, mas a estabelacimente os dircitos de acesso feito pelas politicas de autenticago do acesso, por meio de perfs. Portanto o item ext errado. 30) 0 controle de acesso & rede busca assegurar ouso de interfaces apropriadas entre a rede da organizacso 28 redes de outras orgonizagSes ou redes piblicas e controlar o acesso dos ususrios aos servigos de informagio. Tambsém busca utilizar mecanizmos de autenticagdo apropriados para uruérios © equipamentos. Quare o que esté escrito no tar 11.4 Controle de acesso 8 rede (11 Controle de Acesto): Convdm que exude com aes iu reder es savigns ee rege rdocomptemetam vant spurts dees caris, Sendo assim a questo esté correta 31) Conexées externas que utilizam métodos dial-up devem ser validados conforme o nivel estabelecido por avaliagBes de rsco. Controles e procedimentos de discagem reverss, conhecides por cll forwarding, cexpéem e fragiizam 2 organizagéo, uma ver que utiizam dispositives roteadores com discagem reversa @