SóProvas

ID
126904
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Durante um treinamento sobre a NBR/ISO 27002:2005, um palestrante fez as afirmativas, a respeito das orientações descritas na norma, apresentadas a seguir.

I - A Norma define uma série de indicadores chaves de desempenho, relacionados à segurança, que devem ser avaliados e utilizados para melhoria dos processos.

II - Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades, o monitoramento de sistemas, alertas e vulnerabilidades seja utilizado para a detecção de incidentes de segurança da informação.

III - Convém que os usuários sejam alertados para usar diferentes senhas de qualidade para cada um dos serviços, caso necessitem acessar múltiplos serviços, sistemas ou plataformas, e sejam requeridos para manter separadamente múltiplas senhas, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma.

Está(ão) correta(s) a(s) afirmativas(s)

Alternativas
Comentários
  • O item III está incorreto, pois de acordo com o item 11.5.3 da referida norma, convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade.
  • O item III está incorreto, porque, conforme item 11.3.1 da norma, os usuários deve ser requeridos para utilizar uma única senha de qualidade, quando utilizar múltiplos sistemas, serviços ou plataformas.

    Abraços
  • I - A Norma define uma série de indicadores chaves de desempenho, relacionados à segurança, que devem ser avaliados e utilizados para melhoria dos processos.
    A norma 27002 não é voltada para certificação.
  • Quanto ao item I, a Norma 27002 não define nenhum indicador de desempenho. A medição de desempenho é um fator crítico para o sucesso, mas não é abordada na Norma. Trecho da 27002: "Deve-se observar que as medições de segurança da informação estão fora do escopo desta Norma"(pág. xiii). O examinador quis confundir o candidato com um conceito do Cobit.
  • De acordo com a norma:

    "Se os usuários necessitam acessar múltiplos serviços, sistemas ou plataformas, e forem requeridos para manter separadamente múltiplas senhas, convém que eles sejam alertados para usar uma única senha de qualidade para todos os serviços, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma. "


  • Sobre a alternativa II.

    Segundo a ISO 27002,"13.2.1 Responsabilidades e procedimentos

    Diretrizes para implementação

    Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades (ver 13.1), o monitoramento de sistemas, alertas e vulnerabilidades (10.10.2) seja utilizado para a detecção de incidentes de segurança da informação."


  • I -  As medições de segurança da informação estão fora do escopo da norma 27002;

    II - CORRETO;

    III - Utilizar senha única de qualidade quando utilizar múltiplos sistemas, serviços ou plataformas.

    Gab. B