SóProvas

ID
163627
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A NBR/ISO 27002, em Gestão de Ativos, prescreve o seguinte controle para a Classificação da Informação: "Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização." Para implementação desse controle, a Norma recomenda, entre outras, a seguinte diretriz:

Alternativas
Comentários
  • a) Errado.

    Justificativa: O texto citado na letra A é um controle e não uma diretriz.

    b) Errado.

    Justificativa: Informações são ativos de informação. Os ativos associados com os recursos de processamento da informação podem ser ativos de software, de serviço ou ativos físicos. Logo, é incorreto afirmar que o proprietário do ativo informação seja responsável por assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados.

    c) Errado

    Justificativa: A diretriz citada na letra C está relacionada ao controle "Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização" e não ao controle citado no enunciado da questão.

    d) Errado

    Justificativa: A diretriz citada na letra D está relacionada ao controle "Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização" e não ao controle citado no enunciado da questão.

    e) Certo

    Justificativa: A diretriz citada na letra E está relacionada ao controle citado no enunciado da questão.

    convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios associados com tais necessidades.

  •  A resposta a esta questão é uma cópia de uma diretriz da Norma ISO 27002, que encontra-se em:
    Seção 7 - Gestão de ativos.
       Item: 7.2 - Classificação da Informação.
          SubItem: 7.2.1 - Recomendações para classificação.
    Onde, em sua primeira diretriz para implementação cita:
    "Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades"
    Logo, resposta correta, letra e.
    Espero ter colaborado

  • Dada as respostas dos colegas acima, só posso lamentar que a Cesgranrio utilize de um puro DECOREBA da norma em questão de concurso; esta questão não diferencia aqueles que sabem daqueles que não sabem; só diferencia aqueles que DECORARAM o texto e aqueles que chutaram bem.

    No caso da questão, dava para ter chutado bem.
  • Na alternativa E, o trecho "as necessidades de compartilhamento ou restrição de informações" diz respeito ao conceito de sensibilidade, e o trecho "os respectivos impactos nos negócios associados com tais necessidades" diz respeito ao conceito de criticidade. Ambos os conceitos estão citados no enunciado do controle. Por meio dessa dedução, talvez fosse possível resolver a questão sem simplesmente ter decorado a norma.
  • A Cesgranrio se superou nessa questão, pois as informações das demais alternativas existem na norma, estão corretas, e pra piorar, estão dentro do mesmo capítulo (7. Gestão de Ativos), só que em tópicos diferentes.

    Letra A - Tópico 7.1.3 Uso aceitável dos ativos
    Letra B - Tópico 7.1.2 Proprietário dos ativos
    Letra C - Tópico 7.2.2 Rótulos e tratamento da informação
    Letra D - Tópico 7.2.2 Rótulos e tratamento da informação
    Letra E - Tópico 7.2.1 Recomendações para classificação

    A banca queria que o candidato além de decorar as informações das 132 páginas da norma, decorasse também como ela está estruturada em seus subitens. Realmente foi pra derrubar os candidatos.
  • Pessoal, não adianta "brigar" com a banca. O objetivo da seção COMENTÁRIOS na minha opinião é o de que possamos compartilhar maneiras de "como" resolver as questões. Nesse sentido, no meu ponto de vista, o comentário que mais ajudou foi o que "pesco"u os conceitos de SENSIBILIDADE - "compartilhamento ou restrição de informações" e CRITICIDADE - "... impactos nos negócios associados com tais necessidades"

  • Quero deixar meu apoio aos amigos que acharam esta questão um absurdo. Acho importante criticar sempre que aparecem questões deste nível. Manifestar-se contra demonstra que existe um quantitativo de pessoas disposta a fazer deste meio no qual trabalhamos uma área melhor, que rebaixa o conceito de bancas e examinadores preguiçosos que copiam e colam textos enormes de normas maiores ainda. Creio que todos aqui queremos focar em estudos que contribuem com a prática do dia a dia, tornando-nos profissionais melhores, independentemente das aprovações, e questões deste tipo só criam alienados decoradores de texto, e isto não queremos para nós.

  • Segundo a ISO 27002:2013,8.2.1 Classificação da informação

    Convém que a classificação e os controles de proteção, associados para a informação, leve em consideração as necessidades do negócio para compartilhar ou restrigir a informação bem como os requisitos legais. Convém que outros ativos além dos ativos de informação também sejam classificados de acordo com a classificação da informação armazenada, processada, manuseada ou protegida pelo ativo."