SóProvas

ID
208921
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

No caso de ocorrerem interrupções ou falhas em processos críticos, devem-se executar planos de continuidade para recuperar as operações do negócio, em conformidade com os requisitos de segurança da informação.

Alternativas
Comentários

  • Em conformidade com os requisitos de continuidade dos negócios.

  • O que vai determinar se os planos de continuidade do negócio deverão ser executados ou não vai ser baseado na análise/avaliação dos riscos, conforme seção 14.1.2 Continuidade de negócios e análise/avaliação de riscos. Não existe obrigatoriedade.

  • O objetivo do plano de continuidade deve ser  "Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos
    de falhas ou desastres significativos,  e assegurar a sua retomada em tempo hábil, se for o caso."

    Falhas e interrupções, simplesmente, não são justificativas para disparar um plano de continuidade. Basta tratar o incidente recuperando o serviço o mais rapidamente possível e, se for o caso, abrir um problema para identificar a causa raiz e gerar um Erro Conhecido.

  • Dentro do Processo de GCN (Gestão de Continuidade de Negócios) é possível observar dois termos:

    PNC (Plano de continuidade de negócios) e o PDR (Plano de Recuperação de Desastre). Posso estar enganado, mas acredito que o erro da questão esta aí.

    O PNC  é constituído de uma série de procedimentos e medidas que terão por objetivo a minimizar as perdas decorrentes de um desastre, ou seja, de um eventos de grande proporção em termos de impacto.

    O PDR é um plano exclusivamente focado na recuperação de ativos de tecnologia da informação danificado por uma catástrofe ou por uma falha do sistema.

    Welton Dias

  • No caso de ocorrerem interrupções ou falhas em processos críticos, devem-se executar planos de continuidade para recuperar as operações do negócio, em conformidade com a Gestão de Continuidade do Negócio e não com requisitos de segurança da informação
  • Planejamento de emergência
    Desenvolvimento e manutenção de procedimentos acordados de forma a prevenir,reduzir,controlar,mitigar e escolher ações a serem tomadas no caso de uma emergência civil.

    Plano de continuidade de negócios (PCN )
    Documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.

    Programa de gestão da continuidade de negócios
    processos contínuos de gestão e governança que são suportados pela alta direção e que recebem os recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a continuidade de fornecimento deprodutos e serviços pormeio de treinamentos, testes ,manutenção e análises críticas.

    Para quem disse que um incidente, por si só não pode disparar um PCN está errado, pois a norma diz que é justamente caso ocorra um incidente.

     O planos de continuidade devem seguir o programa de gestão de continuidade de negócios, ou simplesmente com a estratégia da continuidade dos negócios.

    "detalhamento e documentação de planos de continuidade de negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia da continuidade do negócio estabelecida" NBR 27002:2005

    NBR 15999:2007
  • Questão estranha.

    ISO 27001 (pág. 28)
    Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

    ISO 27002 (pág. 104)
    Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

    Baseado no que foi levantada acima, considero que o CESPE considerou ERRADA a questão porque ela está incompleta e/ou imprecisa. Quando a questão diz "executar planos de continuidade para recuperar as operações do negócio, em conformidade com os requisitos de segurança da informação", faltou o "para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida" presente nos trechos destacados nas 3 normas.

    Deus nos abençoe!

  • O propósito de um plano de continuidade de negócios, é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios.
    Os PCN são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos da organização. Eles podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente.
    O conteúdo e os componentes dos PCN variam de organização para organização e possuem diferentes níveis de detalhe, dependendo da escala, ambiente, cultura e complexidade técnica da organização.

  • a questão não especifica qual norma em questão, logo algumas normas dizem que é obrigatório, outras dizem que é conveniente

    não dá pra tirar uma conclusão a respeito, questão estranhissima, apesar de ser plausível que se consedere conformidade com os requisitos de negócio

  • infelizmente nenhum comentário me convenceu do gabarito. Mais alguém com "cartas na manga" pra fazer engenharia reversa do gabarito?

  • Depois de um incidente, usa-se um Plano de gestão de incidente para identificar e resolver o problema. Em seguida o PCN para ativar questões de continuidade e os serviços/processos críticos voltarem a funcionar. Em seguida, ativa-se o Plano de recuperação de negócio para a organização se recuperar do incidente, como substituindo equipamentos danificados, mudando o local de trabalho permanente (no pCN o trabalho fica no lugar alternativo...).


    Acredito, então, que a questão fale do PRN.


  • Galera, dava para responder a questão lendo o "texto associado" a ela, que já começa dizendo: "A continuidade do negócio objetiva não permitir a interrupção das atividades do negócio..."

    Ou seja, é algo PREVENTIVO.


    A questão aborda uma situação CORRETIVA, após o acontecimento do incidente. Se você olhar a definição de Plano de Continuidade de Negócios, vai perceber que:


    "Plano de continuidade de negócios (PCN ) 
    Documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido."


    Repare que o PCN é um documento de PREVENÇÃO, ele se destina a preparar a organização para lidar com possíveis incidentes, portanto não é o adequado a se usar quando um desastre já aconteceu!


    Bons estudos!

  • Luiz, marquei como errada, pois a recuperação das operações de negócio devem estar restritas aos requisitos de continuidade de negócio (um SLA - 2hs - p ex) e nao aos requisitos de seg. info.

  • ERRADO

    A questão trata sobre PLANO DE RECUPERAÇÃO DE DESASTRES - PRD.

    Ele é descrito na família de normas 15999.