SóProvas


ID
1768096
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

    A equipe de analistas apresentou um plano de segurança da informação a um dos mais tradicionais e capilarizados ministérios do Brasil, desenvolvido após um extenso trabalho de pesquisa, ao longo de alguns meses. O documento, que aborda um grande número de tópicos sobre segurança da informação no ministério, contém análises, diagnósticos, problemas, soluções possíveis e propostas, organizados na forma de capítulos. Alguns dos capítulos são listados a seguir.

-Conceitos de segurança da informação
-Proposta de política de segurança
-Classificação de informações
-Auditoria e conformidade
-Controle de acessos físicos e lógicos
-Indicadores e métricas
-Gestão de vulnerabilidades
-Gestão de riscos
-Criptografia
-Gestão de continuidade de negócio
-Terceirização de atividades ligadas à segurança da informação
-Segurança em bancos de dados
-Segurança no desenvolvimento de aplicações web
-Segurança em redes de computadores
-Resposta a incidentes computacionais em redes

    O plano também contém um capítulo de revisão de normas brasileiras de segurança da informação, da série NBR da ABNT, tais como NBR 27001, NBR 27002 e NBR 27005.

    Após a apresentação do plano de segurança à administração superior do ministério, aos assessores e aos convidados por meio de chamada pública, vários debates foram realizados, e foi variado o grau de conhecimento sobre os conceitos e as características do plano, de sua elaboração e do projeto de implantação.

Tendo como referência a situação hipotética apresentada, julgue o item a seguir, acerca de conceitos de segurança da informação possivelmente articulados no plano.

Os procedimentos de classificação da informação quanto ao sigilo não podem ser concluídos sem que sejam investigados os riscos à perda de confidencialidade, integridade e disponibilidade da informação.

Alternativas
Comentários
  • A classificação da informação não deveria vir antes da investigação dos riscos?

  • CERTO

    Basta fazer uma análise crítica: Como eu vou classificsar uma informação e o seu nível de sigilo sem saber a confidencialidade, a integridade e a disponibilidade relacionadas à informação a ser classificada?

  • Primeiro devemos fazer uma Análise/Avaliação de riscos, depois classificar os riscos conforme os critérios pré-estabelecidos pela organização!

  • Classificação da informação

    Controle

    A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação (PERDA DE INTEGRIDADE) ou divulgação ( PERDA DE CONFIDENCIALIDADE) não autorizada.

    FONTE: ISO 27001

  • por que eu tenho que saber os riscos quanto à perda de disponibilidade da informação para poder classificá-la quanto ao sigilo?