Questões ISO 27002 de Concursos Públicos com Gabarito

1 Q851870 | Segurança da Informação, ISO 27002, AL AP Analista Legislativo Desenvolvedor de Sistemas, FCC, Ensino Superior, 2020

No que diz respeito à gestão de incidentes de segurança da informação, é recomendável que a organização defina como identificar, coletar, adquirir e preservar evidências, além de que procedimentos internos sejam desenvolvidos e seguidos para os propósitos de ação legal ou disciplinar, quando necessário. Segundo a norma ABNT NBR ISO/IEC 27002:2013, é recomendável que os procedimentos para registro, guarda e divulgação de evidência de incidentes levem em conta

a) a ficha criminal dos colaboradores da organização.
b) a classificação da ação disciplinar ou legal pelos incidentes ocorridos na organização.
c) o número de incidentes ocorridos em cada mês.
d) papéis e responsabilidades das pessoas envolvidas.
e) os custos envolvidos e o impacto em cada setor da organização.

2 Q849131 | Segurança da Informação, ISO 27002, Ministério da Economia Tecnologia da Informação Segurança da Informação e Proteção de Dados, CESPE CEBRASPE, Ensino Médio, 2020

Julgue o seguinte item, com relação a padrões de interoperabilidade (ePING), segurança da informação e segurança da aplicação.
No que diz respeito a controle de entrada física, a norma ISO/IEC 27002:2013 recomenda que o acesso às áreas onde são processadas ou armazenadas informações sensíveis seja restrito apenas ao pessoal autorizado, mediante a implementação de controles de acesso apropriados, que podem ser, por exemplo, mecanismos de autenticação de dois fatores, tais como cartões de controle de acesso e PIN (personal identification number).

Certo
Errado

3 Q658308 | Segurança da Informação, ISO 27002, Analista Judiciário Análise de Sistemas, TJPA PA, CESPE, Ensino Superior, 2020

Um dos desafios atuais da segurança da informação é o crescente uso de BYOD (bring your own device, ou, em português, traga seu próprio dispositivo) nas instituições. Notebooks, tablets e principalmente smartphones estão invadindo as redes institucionais. Nesse contexto, são necessárias políticas, procedimentos e tecnologias especializadas acerca do tema. Com base na NBR ISO/IEC n.º 27002, em uma política de dispositivos móveis, é correto

a) validar informações de entrada no sistema somente quando todos os dados de entrada estiverem completos e íntegros, em conformidade com as boas práticas.
b) separar o uso do dispositivo para negócio e para fins pessoais, incluindo os softwares para apoiar essa separação e proteger os dados do negócio em um dispositivo privado.
c) monitorar as condições ambientais, como temperatura e umidade, para a detecção de condições que possam afetar negativamente as instalações de processamento da informação.
d) avaliar regularmente a referida política quanto à sua capacidade de atender ao crescimento do negócio e às interações com outras utilidades.
e) segregar as funções de controle de acesso como, por exemplo, pedido de acesso, autorização de acesso e administração de acesso.

4 Q657703 | Segurança da Informação, ISO 27002, Analista Judiciário Análise de Sistemas, TJPA PA, CESPE, Ensino Superior, 2020

Texto 4A04-I

Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.

I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.

II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.

III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.

IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.

A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

a) manutenção de equipamentos e de segurança física, pela ineficiência das manutenções preventivas recomendadas e da proteção física dos servidores web e de banco de dados.
b) manutenção de equipamentos e de segregação de rede, pela ineficiência das manutenções preventivas recomendadas e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.
c) segurança física e de segregação de rede, pela ineficiência da proteção física e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.
d) gestão de vulnerabilidades técnicas e de segurança física, pela ineficiência do monitoramento e das correções das vulnerabilidades e da proteção física dos servidores web e de banco de dados.
e) gestão de vulnerabilidades técnicas e de segregação de rede, pela ineficiência do monitoramento e das correções das vulnerabilidades e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.

Questões de Concursos Públicos: ISO 27002

Confira aqui Questões ISO 27002 de Concursos Públicos Grátis com Gabarito. Acesse Milhares de Exercícios com Perguntas e Respostas Resolvidas e Comentadas para Treinar Online. Se Preferir, Baixe o PDF!