SóProvas

ID
129967
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito das normas de segurança da informação, julgue os
itens subseqüentes.

Uma política de segurança da informação, preconizada pelas normas, é composta por critérios sugeridos para a gestão da segurança, configuração de ativos, etc., o que vai atribuir aos gestores a liberdade de escolher a forma mais inteligente, setorizada, de se adotar segurança.

Alternativas
Comentários
  • Common Criteria (CC) é um padrão internacional (ISO/IEC 15408) para segurança de computadores. Este padrão é voltada para a segurança lógica das aplicações e para o desenvolvimento de aplicações seguras. Ele define um método para avaliação da segurança de ambientes de desenvolvimento de sistemas.
  • O erro desta questão está no fato dos gestores terem a liberdade de adotar a segurança, sendo que a PSI é padronizada para toda a empresa e não setorizada.

  • Essa discricionariedade dos gestores é relativa. Eles podem até optar por não adotar um controle, mas, caso isso seja feito, deverão justificar claramente os motivos.

    "Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia,  incluindo detalhes e justificativas para quaisquer exclusões do escopo"  - ISO 27001

  • Questão estranha, uma vez que não foi citada a norma a ser analisada.

    Quando olhamos para segurança da informação, encontramos duas normas primordiais 27001 e 27002.

    27001 - Sistema de Gestão de Segurança da Informação - Norma destinada para a implementação de um sistema de segurança da informação. Nesta norma observamos passos a serem dados, medidas preestabelecidas a serem tomadas, portando OK.

    27702 - Código de práticas para a segurança da informação - Sobre esta norma NÃO se constata obrigação quanto a aplicabilidade de um critério ou outro, sendo portanto livre ao gestor a escolha de forma inteligente, setorizada de se adotar a segurança.

    Pra mim, questão CORRETA, por não especificar a NORMA.
  • Galera, acho que o erro da questão é esse:


    "Uma política de segurança da informação, preconizada pelas normas, é composta por critérios sugeridos para a gestão da segurança, configuração de ativos,(...)": O política de segurança não possui detalhes técnicos, ou seja, configuração de ativos não deve estar incluída no documento da política.

    "(...) o que vai atribuir aos gestores a liberdade de escolher a forma mais inteligente, setorizada, de se adotar segurança.": Essa frase deixa dúvida, mas me parece correta. Segundo a ISO 27002:2005:

    0.5 Seleção de controles

    Uma vez que os requisitos de segurança da informação e os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Os controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender às necessidades específicas, conforme apropriado. 


    Ao meu ver, os gestores possuem a liberdade de escolher como se adotar a segurança, seja pela seleção de controles descritos na norma, seja por controles que ele julgar serem mais eficazes... É claro, ele vai ter que responder por qualquer problema que ocorrer, mas não me parece o erro da questão essa frase.