-
ERRADO.
Fica a dica. Nada em segurança da informação é 100% seguro, ou 100% completo, ou 100% absoluto. Quando surgir essas palavrinhas em provas do cespe, fiquem atentos. Pois há uma enorme probabilidade de estarem erradas.
Bom, a monitoração e analise crítica do SGSI é atendida com os tópicos descritos em 4.2.3 Monitorar e analisar criticamente o SGSI da norma 27001 que variam dos tópicos a) até h). Peço desculpas por não colocar aqui, pois é muita coisa; porém está na página 7 da norma.
-
Complementando o ótimo comentário acima, o Monitoramento pode ser vista de uma modo geral na página 22 da norma.
Monitoramento: Detectar atividade não autorizadas de processamento da informação.
- Registro de auditoria;
- Monitoramento do uso do sistema;
- Proteção das informações dos registros - logs;
- Registro log de administrador E opeador;
- Registro de falhas;
- Sincronização dos Relógios.
-
ERRADO. Uma das 11 seções da ISO 27.001 é a A10 Gerenciamento das operações e comunicações. Essa seção possui 10 objetivos de controle. Dentre eles o décimo objetivo de controle é chamado A10.10 Monitoramento. Porém, esse objetivo de controle possui 6 controles, e não somente os 3 listados pela questão. Vejamos os 6 controles desse objetivo de controle: 10.10.1 Registros de auditoria; 10.10.2 Monitoramento do uso do sistema; 10.10.3 Proteção das informações dos registros (logs );
10.10.4 Registros (log ) de administrador e operador; 10.10.5 Registros (logs ) de falhas; 10.10.6 Sincronização dos relógios.
Espero te ajudado, complementando os excelentes comentários dos colegas acima!
-
Complementando as informações dos nobres colegas, a 27001:2013 — mais atual — possui 14 seções, 35 objetivos de controle e 114 controles. O objetivo de controle mencionado na questão consta do anexo A. O objetivo de controle mais parecido com a questão é o A.12.4, Registros e monitoramento, que possui 4 controles: registros de eventos, proteção das informações dos registros de eventos (logs), registros de eventos (log) de Administrador e Operador e Sincronização dos relógios.
O edital do referido concurso não mencionava o ano das normas, apenas constava
Normas ISO 27001, ISO 27002.
-
One-time pad manda um salve para o HTTP Concurseiro
-
Pessoa, será que o erro não é pq citou a 27001, onde os controles estão no seu anexo? A 27002 é que determina diretrizes de implementação, implantação, etc...usando os controles.
-
4.2.3 – CHECK – Monitorar a analisar criticamente o SISI:
Fase “Verificar” do PDCA, onde deve-se:
executar procedimentos de monitoração e análise;
realizar análises críticas regulares da eficácia do SGSI;
medir a eficácia dos controles;
analisar criticamente as análises/avaliações de riscos;
conduzir auditorias internas do SGSI;
realizar análise crítica do SGSI pela direção;
atualizar os planos de segurança da informação levando em consideração os resultados das atividades de monitoramento e análise crítica.
Registrar toda e qualquer ação que tenha impacto na eficácia ou desempenho do SGSI;