SóProvas

Questões de ISO-IEC 15408

ID
129970
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito das normas de segurança da informação, julgue os
itens subseqüentes.

A norma ISO/IEC 15408, também conhecida por common criteria, é recomendada para a avaliação de aspectos de segurança de sistemas e produtos de tecnologia da informação em geral.

Alternativas
Comentários
  • Common Criteria (CC) é um padrão internacional (ISO/IEC 15408) para segurança de computadores. Este padrão é voltada para a segurança lógica das aplicações e para o desenvolvimento de aplicações seguras. Ele define um método para avaliação da segurança de ambientes de desenvolvimento de sistemas.
  • A ISO/IEC 15408, uma norma de produtos em TI, mas também faz a avaliação de requisitos de segurança de produtos tratando definições de componentes de segurança e mostra como avaliar sistemas frente aos requisitos de segurança. A norma conhecida como Common Critéria é formada por um conjunto de três níveis:
    Primeiro - discute definições e metodologia
    Segundo - lista requisitos de segurança
    Terceiro – lista metodologias de avaliação

    Fonte: http://www2.lprad.ufpa.br/~liviane/Auditoria%20e%20Seguran%C3%A7a%20de%20Sistemas/Resumo%20da%20norma%20ISO-IEC%2015408.pdf

  • Gabarito Certo

    Segundo a ISO/IEC 15408:

    Common Criteria (CC) é um padrão internacional (ISO/IEC 15408) para segurança de computadores. Este padrão é voltado para a segurança lógica das aplicações e para o desenvolvimento de aplicações seguras. Ele define um método para avaliação da segurança de ambientes de desenvolvimento de sistemas.

    Common Criteria é um framework em que os usuários de sistemas computacionais podem especificar seus requisitos funcionais de segurança e garantia. Dessa forma os fornecedores podem, então, implementar e/ou fazer alegações sobre os atributos de segurança de seus produtos, enquanto que os laboratórios de teste podem avaliar os produtos para determinar se eles realmente cumprem as reivindicações. Em outras palavras, Common Criteria fornece uma garantia de que o processo de especificação, implementação e avaliação de um produto de segurança computacional foi conduzido de uma maneira rigorosa e padronizada.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
144793
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos conceitos de políticas, de normas e de modelos de
segurança em TI, julgue os seguintes itens.

Na norma ISO/IEC 15408, os termos: alvo de avaliação (TOE - target of evaluation); perfil de proteção (PP - protection profile); alvo de segurança (ST - security target) e requisitos funcionais de segurança (SFR - security funcional requirements) podem ser respectivamente descritos como: um conjunto de software, firmware e(ou) hardware; uma classe de dispositivos; uma declaração de necessidades de segurança; um objeto a ser avaliado.

Alternativas
Comentários
  • Os termos estão descritos na ordem errada, abaixo tento "casar" as descrições, será que está correto?

    alvo de avaliação (TOE - target of evaluation) - um objeto a ser avaliado.

    perfil de proteção (PP - protection profile) - uma classe de dispositivos; 

    alvo de segurança (ST - security target) - um conjunto de software, firmware e(ou) hardware

    requisitos funcionais de segurança (SFR - security funcional requirements)  - uma declaração de necessidades de segurança; 
     
  • Segundo a ISO/IEC 15408, a definição de TOE (target of evaluation) é "set of software, firmware and/or hardware possibly accompanied by guidance".

    Fonte: ISO/IEC 15408-1, página 14.

  • Correto dessa forma:


    alvo de avaliação (TOE - target of evaluation) - um conjunto de software, firmware e(ou) hardware

    perfil de proteção (PP - protection profile) - uma classe de dispositivos; 

    alvo de segurança (ST - security target) - um objeto a ser avaliado.

    requisitos funcionais de segurança (SFR - security funcional requirements)  - uma declaração de necessidades de segurança; 

  • Pessoal, o mapeamento correto de conceitos é o que está feito pelo coleta André Veras, não pelo colega Thiago!

    Bons estudos!

  • Gabarito Errado


    alvo de avaliação (TOE - target of evaluation) - um conjunto de software, firmware e(ou) hardware


    perfil de proteção (PP - protection profile) - uma classe de dispositivos; 


    alvo de segurança (ST - security target) - um objeto a ser avaliado.


    requisitos funcionais de segurança (SFR - security funcional requirements) - uma declaração de necessidades de segurança; 



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • Segundo Common Criteria for Information Technology Security Evaluation 

    • Target of Evaluation (TOE): set of software, firmware and/or hardware possibly accompanied by guidance.
    • Protection Profile: implementation-independent statement of security needs for a TOE type.
    • Security Target (ST): implementation-dependent statement of security needs for a specific identified TOE.
    • Security Functional Requirements (SFRs): a translation of the security objectives for the TOE into a standardised language
ID
644395
Banca
FCC
Órgão
TJ-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a ISO/IEC 15408, Security Targets (ST) especificam, antes e durante a fase de avaliação, o que deve ser avaliado. Neste papel, as ST servem de base de acordo para definição das propriedades exatas de segurança do alvo da avaliação, bem como do escopo exato de avaliação negociados entre o

Alternativas
Comentários

  • In an IT product certification process according to the Common Criteria (CC), a Security Target (ST) is the central document, typically provided by the developer of the product, that specifies security evaluation criteria to substantiate the vendor's claims for the product's security properties.

    An ST defines information assurance security requirements for the given information system product, which is called the Target of Evaluation (TOE). An ST is a complete and rigorous description of a security problem in terms of TOE description, threats, assumptions, security objectives, security functional requirements (SFRs), security assurance requirements (SARs), and rationales. The SARs are typically given as a number 1 through 7 called Evaluation Assurance Level (EAL), indicating the depth and rigor of the security evaluation, usually in the form of supporting documentation and testing, that the product meets the SFRs.

    An ST contains some (but not very detailed) implementation-specific information that demonstrates how the product addresses the security requirements. It may refer to one or more Protection Profiles (PPs). In such a case, the ST must fulfill the generic security requirements given in each of these PPs, and may define further requirements.

    Fonte: http://en.wikipedia.org/wiki/Security_Target

  • Pessoal, com uma definição clara dos objetivos da norma ISO/IEC 15.408 pode-se matar a questão.
    A norma acima é um framework que visa especificar os requisitos de segurança para produtos e serviços computacionais. Com essa especificação é possível guiar o desenvolvimento e avaliação de atributos de segurança dos produtos de software. 
    Vejam que o foco é guiar o desenvolvedor e o avaliador quanto aos critérios de segurança previstos na norma, detalhados nas ST (Security Targets). Assim, a alternativa A é a correta, pois fala esses dois perfis: desenvolvedor e avaliador.

    Espero ter ajudado!

  • "Before and during the evaluation, the ST specifies “what is to be evaluated”. In this role, the ST serves as a basis for agreement between the developer and the evaluator on the exact security properties of the TOE and the exact scope of the evaluation. Technical correctness and completeness are major issues for this role. Section A.7 describes how the ST should be used in this role."

     

    Fonte:http://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R4.pdf, Página 61

  • Gabarito A

    Segundo a ISO/IEC 15408:

    Alvo de Segurança (Security Target – ST): trata-se de um documento que identifica as propriedades de segurança de um alvo de avaliação. Pode fazer referência a um ou mais PPs. O Alvo de Avaliação é avaliado de acordo com os (Requisitos de Segurança Funcional – SFRs) estabelecidos no documento neste documento (ST), sem nada a mais ou a menos. Isso permite com que os fornecedores adequem a avaliação para casar de forma adequada com as capacidades pretendidas pelo produto – isso significa que um software de firewall não necessariamente tem de cumprir com os mesmos requisitos de segurança que um software de gerenciamento de banco de dados, por exemplo. Em geral, o ST é publicado, assim potenciais consumidores podem determinar as características de segurança que foram certificadas ao longo da avaliação.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
644398
Banca
FCC
Órgão
TJ-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre o padrão ISO/IEC 15408, considere:

I. Este padrão é flexível em relação ao que deve ser avaliado, e portanto não está restrito aos limites de produtos de tecnologia da informação comumente utilizados.

II. Um alvo de avaliação é definido pelo padrão co-mo um conjunto de softwares, firmwares e/ou hardwares.

III. Em certos casos, um alvo de avaliação definido pelo padrão pode consistir de um produto de TI, uma parte de um produto de TI ou uma tecnologia única que talvez não se torne um produto.

IV. Em relação aos produtos de TI, o padrão define que o alvo de avaliação de parte de um produto de TI deverá ser representado como o alvo de avaliação de todo o produto.

Está correto o que se afirma em

Alternativas
Comentários
  • II. Um alvo de avaliação é definido pelo padrão co-mo um conjunto de softwares, firmwares e/ou hardwares


    Errado, pois essa afirmação se refere a ST.

  • ?????

ID
760648
Banca
FUMARC
Órgão
TJ-MG
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação às normas relacionadas a segurança da informação, julgue os itens a seguir, marcando com (V) a assertiva verdadeira e com (F) a assertiva falsa.

( ) A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.
( ) A elaboração de uma política de segurança da informação deve ser o primeiro passo de uma organização que deseja proteger seus ativos e estar livre de perigos e incertezas.
( ) Autenticidade refere-se a propriedade de salvaguarda da exatidão e completeza da informação.
( ) A norma ISO/IEC 15408 (Common Criteria) é a versão brasileira da bS 7799 (British standard) e especifca os requisitos para implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

Assinale a opção com a sequência CORRETA.

Alternativas
Comentários

  • Questões dúbias e Fumar são sinônimos

    "uma organização que deseja proteger seus ativos e estar livre de perigos e incertezas. "
    Uma organização nunca vai está livre de perigos e incerteza. Ameaças (perigos) e Vulnerabilidades sempre existiram, cabe a gestão da segurança gerenciá-las para diminuir ao máximo qualquer impacto que possa atingir o negócio da organização



  • Concordo com Luis Santos. Se não foi destinada a recurso deveria ter ido

     

  • Luis, mas a questão colocou "deseja". Ou seja, a empresa deseja, mas, como sabemos, não será possível "estar livre de perigos e incerteza". Somente serão diminuídos.

ID
1214119
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os seguintes itens, com base na NBR ISO/IEC 15408.

O TSF (TOE (target of evaluation) security functions) representa as funções de segurança de um TOE que serão avaliadas.

Alternativas
Comentários

  • Alvo de Avaliação (Target of Evaluation – TOE)

    produto ou sistema alvo de avaliação

    deve verificar as características (FUNÇÕES)  de segurança do produto ou sistema

  • 15408 - terminologia 

    O 15408 define uma serie de termos e abreviações que são necessárias para entender a norma. 

    • TOE - target of evaluation - é o sistema que esta sendo avaliado (ou definido) 

    Target Of Evaluation (TOE) - Avaliação - a avaliação desses critérios fornecidos por vendedores do produto é feita na prática verificando as características da segurança do produto e considerando as exigências particulares de cada cliente. 

    • TSF - TOE security functions - é a parte de segurança do TOE – são estas funcionalidades que serão avaliadas 

    • ST - security target - é o conjunto de requisitos de segurança que o TOE deve satisfazer 

     PP - protection profile - ST que estão pré-definidos (para aplicações genéricas como firewalls, etc). 

    Protection Profile (PP) - Análise do perfil do produto - um produto original é criado para um usuário ou por uma comunidade de usuários, com objetivo de identificar exigências de segurança relevantes a esses usuários para finalidades.

  • Gabarito Certo

    Segundo a ISO/IEC 15408:

    Alvo de Avaliação (Target of Evaluation – TOE): consiste do produto ou sistema que é alvo da avaliação. A análise tem por intuito validar afirmações feitas a cerca do alvo. Em termos práticos, a avaliação deve verificar as características de segurança do produto ou sistema.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
1214122
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os seguintes itens, com base na NBR ISO/IEC 15408.

O PP (protection profile) compõe os requisitos de auditoria para a avaliação do sistema.

Alternativas
Comentários

  • A questão se refere aos ST - SecurityTarget : um conjunto de requisitos e especificação de segurança para ser usado como base para a avaliação de um TOE identificado.

  • A PP especifica os critérios genéricos de avaliação da segurança de uma determinada família de produtos de sistemas de informação. Entre outros, ele normalmente especifica o Evaluation Assurance Nível (EAL), um número de 1 a 7, indicando a profundidade e o rigor da avaliação de segurança, geralmente sob a forma de documentação de apoio e de testes, que um produto cumpre os requisitos de segurança especificados no PP.


    Segurança Target (ST) pode ser definido como uma "declaração de aplicação específica das necessidades de segurança de um alvo identificado específico de avaliação (TOE) "

  • Gabarito Errado

    Segunda a  ISO/IEC 15408:


    Perfil de Proteção (Protection Profile – PP): consiste de um documento tipicamente criado por um usuário, ou comunidade de usuários, o qual identifica requisitos de segurança para uma classe de dispositivos de segurança (por exemplo, smart cards utilizadas para prover Assinatura Digital, ou firewallsde rede) relevantes para aquele usuário ou grupo de usuários. Desenvolvedores de software podem escolher desenvolver os seus produtos de acordo com um ou mais PPs e, então, validar estes produtos de acordo com estes documentos. Neste caso, o PP pode servir como template para o ST (Security Target);




    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !


ID
1282930
Banca
CESPE / CEBRASPE
Órgão
ANCINE
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o  próximo  item , acerca de segurança da informação.

O principal objetivo da norma ISO/IEC 15.408 é especificar os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

Alternativas
Comentários

  • O principal objetivo da norma ISO/IEC 15.408 27001 é especificar os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

    Resposta: Errado


    A ISO/IEC 15408, uma norma de produtos em TI, mas também faz a avaliação de requisitos de segurança de produtos tratando definições de componentes de segurança e mostra como avaliar sistemas frente aos requisitos de segurança. A norma conhecida como Common Critéria é formada por um conjunto de três níveis:


    Primeiro - discute definições e metodologia

    Segundo - lista requisitos de segurança

    Terceiro – lista metodologias de avaliação


    A norma avalia produtos do tipo de gerenciamento de configuração, entrega e instalação do software, desenvolvimento e documentação.


    Fonte: http://carlosleilson.blogspot.com.br/2010/10/resumo-da-norma-isoiec-15408.html

  • ERRADO.

    Segundo a ISO 27001,"

    1 Objetivo

    1.1 Geral

    Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes."

    **Portanto, o erro da questão está em afirmar que o objetivo descrito se trata do principal objetivo da norma ISO/IEC 15.408, quando na verdade, tal objetivo é da norma ABNT NBR ISO/IEC 27001.

ID
1386298
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, a respeito de segurança da informação.

A falta de rotina de substituição periódica e a destruição de um equipamento, ocasionada pela inexistência dessa rotina, são consideradas ameaças no gerenciamento de risco e devem ser tratadas, após a identificação dos equipamentos de hardware possivelmente afetados, por meio da utilização de ações descritas na NBR ISO/IEC n.º 15.408.

Alternativas
Comentários

  • A meu ver são consideradas vulnerabilidades e não ameaças... 

  • Além do que o colega comentou, a norma citada, 15408, não está relacionada com o contexto, ela é voltada para o desenvolvimento de aplicações seguras.

ID
1785469
Banca
CESPE / CEBRASPE
Órgão
TCE-RN
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nas disposições das normas NBR ISO/IEC 15408 e ISO 38500, julgue o próximo item.

A Common Criteria estabelece que um produto de software implementa determinado conjunto de funcionalidades de segurança, garantindo que este conjunto seja seguro.

Alternativas
Comentários

  • Garantindo que este conjunto seja seguro... É uma afirmação bem forte...

  • Common Criteria (CC) é um padrão internacional (ISO/IEC 15408) para segurança de computadores. Este padrão é voltado para a segurança lógica das aplicações e para o desenvolvimento de aplicações seguras. Ele define um método para avaliação da segurança de ambientes de desenvolvimento de sistemas.

    Common Criteria é um framework em que os usuários de sistemas computacionais podem especificar seus requisitos funcionais de segurança e garantia. Dessa forma os fornecedores podem, então, implementar e/ou fazer alegações sobre os atributos de segurança de seus produtos, enquanto que os laboratórios de teste podem avaliar os produtos para determinar se eles realmente cumprem as reivindicações. Em outras palavras, Common Criteria fornece uma garantia de que o processo de especificação, implementação e avaliação de um produto de segurança computacional foi conduzido de uma maneira rigorosa e padronizada.


    https://pt.wikipedia.org/wiki/Common_Criteria

  • A Common Criteria simplesmente atesta que o produto de software (aplicação web) implementa um determinado conjunto de funcionalidades de segurança, mas não garante que o mesmo seja seguro apenas por conta disso.

ID
2947018
Banca
IADES
Órgão
AL-GO
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Donos de informação podem requisitar que a disponibilidade, disseminação e modificação de qualquer informação seja estritamente controlada e que os ativos sejam protegidos de ameaças por meio de contramedidas.

International Organization for Standardization. ISO/IEC 15408-1: Introduction and general mode, 2009. Tradução livre.

Segundo a ISO/IEC 15408, existem dois elementos principais que devem ser demonstrados para se poder defender a escolha de contramedidas. Esses elementos determinam que as contramedidas devem ser

Alternativas
Comentários

  • LETRA A

    Não li a 15408, mas baseado em princípios lógicos e no conhecimento de outras normas, a letra A é a mais plausível.

  • ISO/IEC 15408 Diz

    Proteger os ativos de interesse é responsabilidade dos proprietários que os valorizam. Os agentes de ameaças reais ou presumidos também podem colocar valor nos ativos e tentar usá-los de maneira contrária aos interesses do proprietário. Exemplos de agentes de ameaças incluem hackers, usuários mal-intencionados, usuários não mal-intencionados (que às vezes cometem erros), processos de computadores e acidentes.

    Os proprietários dos ativos perceberão ameaças como potencial de perdas, de modo que o valor dos ativos para os proprietários seria reduzido. O comprometimento específico de segurança geralmente inclui, mas não se limita a: perda de confidencialidade de ativos, perda de integridade e perda de disponibilidade.

    Essas ameaças, portanto, geram riscos para os ativos, com base na probabilidade de uma ameaça ser percebida e no impacto sobre estes ativos quando essa ameaça é percebida. Posteriormente, as contramedidas são impostas para reduzir os riscos. Essas contramedidas podem consistir em contramedidas de TI (como firewalls e cartões inteligentes) e contramedidas não relacionadas a TI (como proteções e procedimentos). Que podem ser vistas em outras normas ISO/IEC 27001 e ISO/IEC 27002 para uma discussão mais abrangente sobre tais contramedidas de segurança (controles) e como implementá-los e gerenciá-los.

    Proprietários podem ser (responsáveis) por esses ativos e, portanto, devem ser capazes de defender a decisão de aceitar os riscos de expor os ativos às ameaças.

    Dois elementos importantes na defesa desta decisão são demonstrar que:

    • as contramedidas são suficientes: se as contramedidas fizerem o que pretendem fazer, as ameaças aos ativos serão anuladas;

    • as contramedidas estão corretas: as contramedidas fazem o que pretendem fazer.

    Muitos donos de ativos carecem do conhecimento, experiência ou recursos necessários para julgar com suficiência e exatidão as contramedidas, e podem não querer confiar somente nas afirmações dos desenvolvedores. Esses consumidores podem, portanto, optar por aumentar sua confiança na suficiência e correção de algumas ou de todas as suas contramedidas, ordenando uma avaliação das mesmas.