Questões de Concursos Públicos - Segurança da Informação

A Cada controle apresenta uma declaração de escopo e informações adicionais.

B As diretrizes de implementação devem ser definidas de forma que atendam por completo o objetivo de controle da organização.

C A descrição de um controle é dada pelo escopo e pelo objetivo do controle.

D Para se alcançar um objetivo de controle, podem ser aplicados um ou mais controles.

E As diretrizes de implementação são definidas pela declaração específica do controle e pelo objetivo do controle.

A A PSI de uma empresa não pode proibir o acesso remoto utilizando equipamentos particulares.

B A organização pode e deve definir quais softwares não podem ser instalados nas máquinas dos usuários.

C A PSI pode definir diretrizes de acesso para o acesso remoto utilizando equipamentos particulares diferentes do acesso com equipamentos de propriedade da organização.

D A PSI não pode estabelecer critérios de segurança física dos ambientes remotos.

E Por questões legais, uma PSI não pode estabelecer regras quanto ao acesso de familiares ao equipamento ou à informação.

A inventário de ativos, proprietário dos ativos e tratamento dos ativos.

B inventário de ativos e tratamento dos ativos e das mídias.

C responsabilidade pelos ativos, uso aceitável dos ativos e classificação da informação.

D responsabilidade pelos ativos, classificação da Informação e gerenciamento das mídias.

E responsabilidade pelos ativos, classificação da Informação e tratamento das mídias.

A sejam considerados os controles de acesso físico e lógico separadamente.

B a segregação do controle de acesso seja tratada à parte.

C o controle de acesso à rede sem fio seja sempre distinto do controle de acesso à rede cabeada.

D o controle de acesso a sistemas seja tratado de modo isolado, no qual cada sistema tenha a própria forma de controle e que, por ocasião de invasão, seja comprometido apenas um sistema.

E a política de controle de acesso seja norteada pelos princípios “necessidade de conhecer” e “necessidade de uso”.

A definição de contexto, processo de avaliação de riscos, tratamento do risco, aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica do risco.

B identificação, análise e avaliação dos riscos.

C definição de contexto, análise do risco, tratamento do risco, aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica do risco.

D definição de contexto, identificação e análise crítica do risco, tratamento e aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica do risco.

E definição de contexto, identificação e análise crítica do risco, tratamento e aceitação do risco, comunicação do risco e monitoramento do risco.

A A norma estabelece uma escala de aceitação de riscos, que deve ser seguida pelas organizações.

B Os critérios de aceitação de risco não podem ser diferenciados pelo tempo de existência do risco, apenas pelo valor do impacto do evento.

C Os critérios de aceitação de risco devem ser expressos como razão entre o lucro e o risco estimado.

D É possível aceitar um risco, mesmo que as ações de tratamento desse risco ainda não tenham sido tomadas, desde que haja um compromisso de ações em um período de tempo estipulado.

E Os critérios de aceitação de risco são independentes das políticas e das metas da organização, vinculando-se a fatores financeiros, sociais e de reputação.

A A valoração dos ativos pode ser determinada de duas maneiras: pela valoração da reposição do ativo e as consequências ao negócio relacionadas à perda ou pelo comprometimento do ativo.

B A análise de riscos qualitativa é realizada com valores numéricos, de preferência com dados históricos de incidentes.

C A análise qualitativa de riscos depende da exatidão e da integridade dos dados.

D Uma das etapas da análise de riscos é a análise das consequências. Nessa fase, é importante analisar, de forma quantitativa, as consequências.

E Na avaliação de probabilidade, designam-se valores para a probabilidade e para as consequências de um risco.

A O custo das operações interrompidas é identificado como impacto direto ou operacional.

B O custo das operações suspensas ou interrompidas é identificado como impacto operacional.

C O custo de configuração de um ativo é um tipo de custo indireto.

D O custo das operações suspensas devido ao incidente, até que o serviço prestado pelos ativos afetados seja restaurado, é um tipo de custo indireto.

E Consequências resultantes de violações da segurança da informação representam um impacto indireto.

A receber apoio por parte da administração superior.

B haver um indivíduo ou grupo responsável por verificar se a política está sendo respeitada.

C realizar-se a atualização esporádica da política, deforma a refletir as mudanças na organização.

D ser conhecida por todos os usuários da organização e esses devem manifestar sua concordância em submeter-se a ela antes de obter acesso aos recursos computacionais.

A AES-128 (primário)/3-DES (secundário)

B AES-256 (primário)/Kerberos v5 (secundário)

C 3-DES (primário)/Kerberos v5 (secundário)

D SHA1 (primário)/AES-128 (secundário)

E IPSec (primário)/L2TP (secundário)