SóProvas

ID
1308931
Banca
CESPE / CEBRASPE
Órgão
ANTAQ
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à segurança da informação, julgue os itens .

Segundo a Norma ISO 27001, o monitoramento de um sistema de gestão de segurança da informação é completamente atendido pelos seguintes controles: registros (logs) de auditoria, proteção das informações dos registros (logs) e monitoramento do uso do sistema.

Alternativas
Comentários

  • ERRADO.

    Fica a dica. Nada em segurança da informação é 100% seguro, ou 100% completo, ou 100% absoluto. Quando surgir essas palavrinhas em provas do cespe, fiquem atentos. Pois há uma enorme probabilidade de estarem erradas.

    Bom, a monitoração e analise crítica do SGSI é atendida com os tópicos descritos em 4.2.3 Monitorar e analisar criticamente o SGSI da norma 27001 que variam dos tópicos a) até h). Peço desculpas por não colocar aqui, pois é muita coisa; porém está na página 7 da norma.

  • Complementando o ótimo comentário acima, o Monitoramento pode ser vista de uma modo geral na página 22 da norma.

    Monitoramento: Detectar atividade não autorizadas de processamento da informação.

    - Registro de auditoria;

    - Monitoramento do uso do sistema;

    - Proteção das informações dos registros - logs;

    - Registro log de administrador E opeador;

    - Registro de falhas;

    - Sincronização dos Relógios.

  • ERRADO. Uma das 11 seções da ISO 27.001 é a A10 Gerenciamento das operações e comunicações. Essa seção possui 10 objetivos de controle. Dentre eles o décimo objetivo de controle é chamado A10.10 Monitoramento. Porém, esse objetivo de controle possui 6 controles, e não somente os 3 listados pela questão. Vejamos os 6 controles desse objetivo de controle: 10.10.1 Registros de auditoria; 10.10.2 Monitoramento do uso do sistema; 10.10.3 Proteção das informações dos registros (logs ); 
    10.10.4 Registros (log ) de administrador e operador; 10.10.5 Registros (logs ) de falhas; 10.10.6 Sincronização dos relógios.

    Espero te ajudado, complementando os excelentes comentários dos colegas acima!
  • Complementando as informações dos nobres colegas, a 27001:2013 — mais atual — possui 14 seções, 35 objetivos de controle e 114 controles. O objetivo de controle mencionado na questão consta do anexo A. O objetivo de controle mais parecido com a questão é o A.12.4, Registros e monitoramento, que possui 4 controles: registros de eventos, proteção das informações dos registros de eventos (logs), registros de eventos (log) de Administrador e Operador e Sincronização dos relógios.

    O edital do referido concurso não mencionava o ano das normas, apenas constava Normas ISO 27001, ISO 27002.
  • One-time pad manda um salve para o HTTP Concurseiro

  • Pessoa, será que o erro não é pq citou a 27001, onde os controles estão no seu anexo? A 27002 é que determina diretrizes de implementação, implantação, etc...usando os controles.

  • 4.2.3 – CHECK – Monitorar a analisar criticamente o SISI:
    Fase “Verificar” do PDCA, onde deve-se:

    executar procedimentos de monitoração e análise;

    realizar análises críticas regulares da eficácia do SGSI;

    medir a eficácia dos controles;

    analisar criticamente as análises/avaliações de riscos;

    conduzir auditorias internas do SGSI;

    realizar análise crítica do SGSI pela direção;

    atualizar os planos de segurança da informação levando em consideração os resultados das atividades de monitoramento e análise crítica.

    Registrar toda e qualquer ação que tenha impacto na eficácia ou desempenho do SGSI;