Questões sobre Norma 27005

Segurança da Informação - Norma 27005 - Centro de Seleção e de Promoção de Eventos UnB (CESPE) - 2020 - TJPA/PA - Analista Judiciário - Análise de Sistemas (Desenvolvimento)

Segundo a NBR ISO/IEC 27005, no processo de gestão de riscos da segurança da informação, a definição dos critérios de avaliação de riscos é realizada na atividade
    A) definição do contexto.
    B) identificação de riscos.
    C) análise de riscos.
    D) avaliação de riscos.
    E) tratamento do risco.
Clique em uma opção abaixo para responder a questão:

Texto 4A04-I


Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.


I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.

II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.

III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.

IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.


A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

Com base na NBR ISO/IEC n.º 27005, é correto afirmar que, na situação hipotética descrita no texto 4A04-I, ocorreu uma falha no ciclo de vida da gestão de risco, na fase
    A) identificação do risco.
    B) avaliação do risco.
    C) definição do contexto do risco.
    D) tratamento do risco.
    E) comunicação e consulta do risco.
Clique em uma opção abaixo para responder a questão: