ID 114244 Banca CESPE / CEBRASPE Órgão TRE-MT Ano 2010 Provas CESPE - 2010 - TRE-MT - Analista Judiciário - Tecnologia da Informação Disciplina Segurança da Informação Assuntos ISO 27002 Com relação à ISO 27002, assinale a opção correta. Alternativas Após identificar os requisitos de segurança da informação e os riscos a que uma organização está exposta, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável, pois, segundo a norma, por meio do controle gerencia-se o risco. A segurança da informação objetiva a preservação da confidencialidade, integridade e disponibilidade da informação. Cada categoria principal de segurança da informação contém um ou mais objetivos de controle que definem o que deve ser alcançado, além de um controle que pode ser aplicado para que os objetivos sejam alcançados. Considera-se ativo tudo que tenha valor para a organização. São exemplos de ativos de informação os aplicativos, sistemas, ferramentas de desenvolvimento e utilitários. Diretriz é a descrição que orienta o que deve ser feito e como deve ser feito, de modo a se alcançar os objetivos estabelecidos. Quanto às diretrizes para comércio eletrônico da norma em questão, as considerações podem ser implementadas pela aplicação de controles criptográficos de chave assimétrica, não sendo recomendada a utilização de chaves simétricas. A referida norma recomenda o desenvolvimento e a implementação de uma política para avaliação e uso de controles criptográficos que, em conjunto com a análise e avaliação de riscos, são ações independentes que auxiliam na escolha dos controles de modo mais amplo. Responder Comentários a) CertoJustificativa: De acordo com a referida norma, uma vez que os requisitos de segurança da informação e os riscos tenham sido identificados e as decisõespara o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável.b) ErradoJustificativa: Cada categoria principal de segurança da informação contém:a) um objetivo de controle que define o que deve ser alcançado; eb) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.c) ErradoJustificativa: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários não são exemplos de ativos de informação, mas sim de softwared) ErradoJustificativa: Quanto às diretrizes para comércio eletrônico da norma em questão, as considerações podem ser endereçadas pela aplicação de controles criptográficos,levando-se em conta a conformidade com os requisitos legais. No entanto, a norma em nenhum momento cita qual chave deve ser utilizada.e) ErradoJustificativa: Para o desenvolvimento de uma política para criptografia deve ser considerada a identificação do nível requerido de proteção com base em uma análise/avaliação de riscos. Assim, conclui-se que a política para criptografia é dependente da análise/avaliação de riscos. Não encontrei na norma qualquer menção "por meio do controle gerencia-se risco". Na minha opinião, isso está errado. O controle é um dos muitos elementos da gestão de riscos que engloba identificação, análise, resposta, etc. Por meio do controle mitiga-se o risco, não se gerencia. Caro Ricardo, Está implicito, "por meio do controle gerencia-se risco" na recomendação da norma... Caros Rene e Ricardo. Encontra-se em 2 - Termos e definições; 2.2 - Controle : "forma de gerenciar o ricos, .... - logo, por meio do controle gerencia-se o risco. A está incompleta...uma das formas de gerenciar o Risco é reduzi-lo até um nível aceitável...as outras formas seriam a própria extinção do risco, a transferência, a aceitação...