SóProvas

ID
208876
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Os controles baseiam-se nos requisitos de segurança selecionados considerando-se as restrições de implementação, sua eficácia em relação aos riscos que serão reduzidos e às perdas potenciais, caso as falhas na segurança ocorram. Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização.

Alternativas
Comentários

  • Restrições de implementação não são consideradas quando da seleção do controle de requisitos de segurança.

  • Não concordo com o amigo do último comentário. Segundo a norma ISO 27002:
            "Os controles podem ser selecionados desta ou de outras normas. É importante reconhecer que alguns controles podem não ser aplicáveis a todos os sistemas de informação ou ambientes e podem não ser praticáveis em todas as organizações. Como um exemplo, 10.1.3 descreve como as responsabilidades podem ser segregadas para evitar fraudes ou erros.  Pode não ser possível para pequenas organizações segregar todas as responsabilidades (...)"
     Percebe se claramente neste trecho, que, durante a seleção de controles, devido a uma restrição de implementação(quantidade pequena de funcionários para segregar todas as funções de segurança), não foi possível a uma pequena empresa implantar o controle "segregação de responsabilidades".
    O erro, na minha opinião, está no seguinte trecho: "Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização." 
    Prejuízos à reputação da organização é um fator intangível e não financeiro como está na questão.
  • Concordo com Fábio na análise da questão. Pra mim é o erro da questão.

    Yakko, vc copiou todas os comentários (em várias questões de SI) de uma lista do Socrates FIlho e nem fez referência ao autor. É muito boa  sua ajuda dos comentários, mas tb é mt importante citar a fonte. É de grande valia para complementação dos estudos!

    Bons estudos e sucesso a todos!
  • Posso estar enganado, mas "requisitos de segurança selecionados" me parece errado. 
    O que pode ser selecionado considerando o contexto organizacional e as normas citadas são os CONTROLES. 
    Requisitos, de acordo com a 27001, não são opcionais e são genéricos suficiente pra todo e qualquer tipo de organização. Ao meu ver, a palavra "selecionar" não cabe no contexo de "requisitos" dentro da norma 27001.

    Todas essas considerações podem ser levadas em conta quanto a SELEÇÃO DE CONTROLES.

    Marquei errado por esse motivo. Mas de qualquer forma a questão é confusa... Alguém poderia reforçar os comentários?
  • Perfeito o comentário do Fábio:

    Convém que os controles sejam selecionados baseados nos custos  de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.
    Convém que fatores não financeiros, como, por exemplo, prejuízos na reputação da organização, sejam levados em consideração

  • 2 erros

    os controles não são escolhidos baseados na dificuldade de implementação, pois são escolhidos baseado na análise dos riscos...e...a marca da empresa que é um fator intangível, e não financeiro (apesar de uma coisa levar à outra|).