Questão Q607714

A equipe de analistas de segurança da informação de um órgão do judiciário federal participou de uma atividade de capacitação conduzida por uma empresa de consultoria em controle de acessos, tendo sido submetida a uma avaliação preliminar de seus conhecimentos sobre esse tema. A avaliação baseou-se em debate mediado pelos membros da consultoria, durante o qual os membros da equipe de segurança discutiram com os usuários de TI um conjunto de afirmações acerca da melhor forma de aprimorar o controle de acessos no órgão. Várias ponderações conduzidas pelos consultores eram deliberadamente errôneas, e algumas, verdadeiras. A equipe de analistas de segurança e os usuários de TI deveriam identificar as ponderações erradas e as verdadeiras.

Considerando que as opções a seguir apresentam ponderações dos consultores, assinale a opção que apresenta ponderação correta, com base nos conceitos do controle de acessos e nas normas da ISO/IEC 27001, 27002 e 27005.

Alternativas

A segregação de regras de controle de acessos no órgão é fundamentada na ideia de que o atendimento a pedidos de acesso, a autorização dos acessos propriamente ditos e a administração dos acessos são realizados por uma mesma pessoa no órgão.

A abordagem e o desenho dos controles de acesso físico e lógico no órgão deve ser feita de forma independente.

A autenticação baseada em três fatores é válida unicamente para sistemas de controle de acesso lógico, e não para sistemas de controle de acesso físico.

Em aderência aos controles previstos pela norma ISO/IEC 27001, faz-se necessário utilizar a autenticação baseada em dois fatores, tanto no acesso de origem externa à rede quanto no acesso de qualquer usuário ao sistema operacional, desde que esses ativos estejam incluídos em um escopo de implantação de um sistema de gestão da segurança da informação.

Para que os controles de acessos físico e lógico sejam implementados de forma consistente em diferentes sistemas e redes do órgão, é recomendada a prévia classificação, quanto à segurança necessária, dos ativos de informação a eles relacionados.

Comentários

Questão que para acertar o melhor caminho é fazer por eliminação!

a) A segregação de regras de controle de acessos no órgão é fundamentada na ideia de que o atendimento a pedidos de acesso, a autorização dos acessos propriamente ditos e a administração dos acessos são realizados por uma mesma pessoa no órgão.

Errado. Outras pessoas com autorização podem realizar pedidos de acessos para outros usuários.

b) A abordagem e o desenho dos controles de acesso físico e lógico no órgão deve ser feita de forma independente.

Errado. De forma dependente se não vira bagunça!

c) A autenticação baseada em três fatores é válida unicamente para sistemas de controle de acesso lógico, e não para sistemas de controle de acesso físico.

Errado. A autentição baseada em três fatores pode ser válida para acesso físico também!

d) Em aderência aos controles previstos pela norma ISO/IEC 27001, faz-se necessário utilizar a autenticação baseada em dois fatores, tanto no acesso de origem externa à rede quanto no acesso de qualquer usuário ao sistema operacional, desde que esses ativos estejam incluídos em um escopo de implantação de um sistema de gestão da segurança da informação.

Errado. Esse "qualquer usuário" que torna a questão errada, pois não é bem assim, porque esse usuário poderia ser um convidado com perfil temporário.
Não encontrei respaldo na norma. Alguém?
controle lógico e físico devem caminhar de forma conjunta

2017
De acordo com a NBR ISO 27002, a política de controle de acesso deve tratar do controle de acesso lógico, enquanto a política de segurança física e do ambiente deve tratar do controle de acesso físico.
errada

SóProvas

Continue usando...

O que está incluso