SóProvas


ID
1208374
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nas normas ABNT NBR ISO/IEC n.º 27001:2006 e n.º 27002:2005, julgue os itens a seguir, relativos à gestão de segurança da informação.

Para evitar o vazamento de informações corporativas, que gera prejuízos enormes às organizações, a utilização de equipamentos fora das dependências da organização requer obrigatoriamente a autorização prévia da administração.

Alternativas
Comentários
  • Segundo a ISO 27002,"9.2.5 Segurança de equipamentos fora das dependências da organização

    Diretrizes para implementação

    Convém que, independentemente de quem seja o proprietário, a utilização de quaisquer equipamentos de processamento de informações fora das dependências da organização seja autorizada pela gerência.

    Informações adicionais

    Os equipamentos de armazenagem e processamento de informações incluem todas as formas de computadores pessoais, agendas eletrônicas, telefones celulares, cartões inteligentes, papéis e outros tipos,utilizados no trabalho em casa, ou que são removidos do local normal de trabalho."




  • A 27.002:2005 não obriga... Ela sugere!

  • Bem lembrado colega Nascimento. Mas vamos ficar atentos, porque quando o cespe colocar no título da questão algo do gênero "Com base nas normas ABNT NBR ISO/IEC n.º 27001:2006 e n.º 27002:2005", então tanto o DEVE,da ISO 27001, quanto o PODE,da ISO 27002, são usados de formas semelhantes e não definirão se o resultado é certo ou errado. Portanto, não será o pode ou o deve que vai sacanear o usuário porque as duas formas serão válidas, ao não ser que na questão venha pedindo COM BASE EM NORMA TAL.


  • ISO 27001:

    A.9.2.5

    Segurança de equipamentos fora das dependências da organização 

    Devem ser tomadas medidas de segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.

    ISO 27002:

    9.2.5 Segurança de equipamentos fora das dependências da organização

    Convém que sejam tomadas medidas de segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.


    O enunciado afirma com base nas duas normas logo a questão está errada. 

  • A questão não esclarece que tipo de equipamento, e nem se o equipamento é da empresa ou é particular;

  • Acredito que o erro está na palavra "obrigatoriamente", porque a ISO 25.002 apenas sugere medidas.

  • ISO 27002
    9.2.5  Security of equipment off-premises

    Security should be applied to off-site equipment taking into account the different risks of working outside the organization’s premises.
    Engraçado, na norma original, que está em ingles, está escrito SHOULD, e não COULD.
    Isso eliminaria o problema da 27001 obrigar e 27002 sugerir, pois ambas obrigariam.

    Talvez o erro esteja em a utilização de equipamentos fora das dependências da organização, pois a iso 27002 não proibe o uso de qualquer equipamento, mas proíbe o uso equipamentos de processamento de informações.
    Adicionalmente, como levantando por Tanenbaum, o fato de ser autorizado pela gerência.



  • Acredito que o problema esteja apenas no trecho: "autorização prévia da administração". Na norma tem autorização prévia, mas não diz da administração:

    "A.9.2.7 - Remoção de Propriedade - Controle: Equipamentos, informações ou software não devem ser retirados do local sem autorização prévia."


  • O erro está em afirmar que: " requer obrigatoriamente a autorização prévia da administração."

    Quando a norma 27002:2013 diz: "Convém que o uso de qualquer equipamento ....", ou seja, a norma não obriga, apenas sugere!!!

  • Pessoal,

    Primeiro cabe lembrar o escopo de cada norma. A 27001 é contém os requisitos de um SGSI. Já a 27002 é uma referência para seleção de controles. Pela questão nosso foco deve ser na 27002. Tenha em mente que 27002 é um referência, ela vai apenas dar orientações. Logo, o obrigatoriamente está errado.
  • Bom, como a maioria dos candidatos alega que  a ISO 27002 somente sugere, então como uma organização pode adquirir o seu reconhecimento???

  • Eu também sempre duvido de alguns termos, como "nunca", "sempre", "garante" etc. "Obrigatório" é um deles, principamente quando se refere ao Cespe. A chance de ser uma afirmação falsa é muito grande.

    Vamos na fé.

  • Senhores, usem o bom senso. Desde quando o fato da empresa autorizar o uso evita vazamento de informações? Acho que nunca né.

  • Várias questões a cespe utiliza como sugestao e em outras obrigação ao sabor do gosto do avaliador.

  • " Convém que o uso de qualquer equipamento de processamento e armazenamento de informações fora das dependências da organização seja autorizado pela gerência. Isto se aplica aos próprios equipamentos da organização e aos equipamentos pessoais, usados em nome da organização. "

    Não tem nem como dizer que gerência e administração são coisas diferentes. Quem errou, acertou. Bola pra frente.