SóProvas


ID
1682746
Banca
CESPE / CEBRASPE
Órgão
STJ
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nas normas ISO 27001, ISO 27002, ISO 27003, ISO 27004 e ISO 27005, relativas à segurança de ativos de informação das organizações, julgue o item a seguir.

Conforme disposto na norma ISO 27002, as senhas de acesso devem, necessariamente, ser de uso pessoal e individual bem como devem ser mantidas sob sigilo.


Alternativas
Comentários
  • Só por conta do necessariamente mesmo que invalidou a questão na minha opinião, pois deveria ser exclusivamente. Agora lanço uma pergunta: O que vem a ser uma senha de uso pessoal? pois entendo que o termo senha é inerente à pessoa. 

    Qual outro termo poderia ser utilizado no lugar de "uso pessoal" que não seja individual? 

  • Eu inclusive abrir um recurso solicitando a alteração da questão para o cespe. Isso tem na própria norma que as senhas devem ser mantidas sobre sigilo.  Muito provavelemtne seja esse necessariamente como falou o calango.

  • 11.2.3  Gerenciamento de senha do usuário

    Controle:

    Convém que a concessão de senhas seja controlada através de um processo de gerenciamento formal.

    Diretrizes para implementação:

    Convém que o processo considere os seguintes requisitos: a)  solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; 
  • tambem achei um absurdo o gabarito ela deve ser mantida sob sigilo . cespe mais uma vez viajando.

  • Concordo com o calango, até porque não faz sentido uma senha de grupo compartilhada, e sim senha (indivíduo) com autorizações de acesso de grupo.

  • Senha de uso pessoal é aquela senha que não é de uso compartilhado, mas existe senha de uso compartilhado? Em tese não deveria existir, mas na prática sim, e muito. E aí?

  • A questão traz o verbo _devem_ e ainda inclui a palavra necessariamente. Isso não combina com a norma 27002. Ela não é mandatória.

  • Houve muita discussão quanto ao fato de se admitr senhas de grupo de trabalho. Creio que o respaldo da norma, ao mencionar casos em que se admite senhas de grupo, seja o controle:

    "6.1.2 Segregação de funções.

    "Convém que funções conflitantes e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização."

    "Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção."


    Claro, a regra é senha individual e intransferível, mas há casos e casos. Igual filme de Hollywood: para abrir o cofre do banco precisa de várias chaves, cada uma com um funcionário distinto.

  • Pessoal, o fato da questão estar errada não invalida as duas proposições. É só usar De Morgan.... A negação de A e B não é não A e não B, mas sim não A OU não B. Portanto finalizando a questão: senhas ficam em sigilo e não precisam ser exclusivamente pessoais, pois existem senhas de grupo.
  • Conforme a nova versão de 2013 da norma tal resposta está em:

    9.2.4 Gerenciamento da informação de autenticação secreta de usuários

     

    **CRÉDITOS AO COLEGA GUILHERME

  • Quando pensamos que já estamos entendendo um pouco de ISO 27002... vem a cespe e mete um soco no meio da nossa venta. :(

  • SEÇÃO DE CONTROLE: Controle de acesso

    OBJETIVO DE CONTROLE: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços

    CONTROLE: Convém que um processo formal de registro e cancelamento de usuário seja implementado para permitir atribuição dos direitos de acesso (ID único de usuário; IDs compartilhados apenas por necessidades operacionais ou de negócios)

     

    O erro da questão está no "necessariamente", pois existe a possibilidade de ser compartilhado.

  • ISO 27002:2013

    9 Controle de acesso

    9.2 Gerenciamento de acesso do usuário​

    9.2.1 Registro e cancelamento de usuário
    Diretrizes para implementação

    Convém que o processo para gerenciar o identificador de usuário (ID de usuário) inclua:
    a) o uso de um ID de usuário único, para permitir relacionar os usuários com suas responsabilidades e ações; o uso compartilhado de ID de usuário somente será permitido, onde eles são necessários por razões operacionais ou de negócios e convém que seja aprovado e documentado;

  • tem algumas questoes vai da interpretacao.

  • Assertiva ERRADA. 

     

    Essa derrubou muita gente que ainda não pegou o espírito da norma ou estava distraído. Corrigindo a questão, ficaria assim:

     

    "Conforme disposto na norma ISO 27002, as senhas de acesso devem, preferencialmente, ser de uso pessoal e individual bem como devem ser mantidas sob sigilo."

     

    Embora pareça muito óbvio que uma senha compartilhada, a norma não obriga nada, de modo que tudo que ela sugere é sempre por meio do verbo "convém". 

  • Senha deve ser Pessoais e intransferível.

    portanto questão errada.

  • Davi Fonseca Silva é justamente o contrário.

    A norma não diz que DEVEM ser nada. No caso das senhas, inclusive, a norma afirma que:

    "as senhas de acesso devem, preferencialmente, ser de uso pessoal e individual bem como devem ser mantidas sob sigilo."

    Além disso, disserta sobre a possibilidade de compartilhamento de usuário:

    "o uso compartilhado de ID de usuário somente será permitido, onde eles são necessários por razões operacionais ou de negócios e convém que seja aprovado e documentado;"

  • A norma prevê a existência de senhas de grupo, para determinadas atividades.

  • A meu ver, o gabarito deveria ser CERTO

    De acordo com a ISO 27002:2013:

    Sistema de gerenciamento de senha

    Controle: Convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de

    qualidade.

    Diretrizes para implementação:

    Convém que o sistema de gerenciamento de senha:

    a) obrigue o uso individual de ID de usuário e senha para manter responsabilidades;