SóProvas

ID
238459
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com base no disposto na norma ABNT NBR ISO/IEC 27002:2005,
julgue os itens que se seguem.

Funcionários, fornecedores e terceiros devem ser instruídos a averiguar, imediatamente, qualquer fragilidade na segurança de informação suspeita.

Alternativas
Comentários

  •  

    Segundo a ISO 27002
     
    Diretrizes para implementação
    Convém que os funcionários, fornecedores e terceiros notifiquem esse assunto o mais rápido possível para
    sua direção ou diretamente ao seu provedor de serviços, de forma a prevenir incidentes de segurança da
    informação. Convém que o mecanismo de notificação seja fácil, acessível e disponível sempre que possível.
    Convém que os usuários sejam informados que não podem, sob nenhuma circunstância, tentar averiguar
    fragilidade suspeita.
  • Faltou ao colega do comentário anterior indicar a qual controle se refere a questão. É o controle 13.1.1 Notificação de eventos de segurança da informação, do objetivo de controle 13.1 Notificação de fragilidades e eventos de segurança da informação da seção 13 Gestão de incidentes de segurança da informação.
  • Demorei para achar porque o controle citado pelo colega não está certo. A resposta se encontra neste controle aqui:

    Segundo a ISO 27002, p.119,
    "13. GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
          13.1. NOTIFICAÇÃO DE FRAGILIDADES E EVENTOS  DE SEGURANÇA DA INFORMAÇÃO
              13.1.2 NOTIFICANDO FRAGILIDADES DE SEGURANÇA DA INFORMAÇÃO
    Diretrizes para implementação"




    Bibliografia:
    Norma ISO 27002

  • Vamos simplificar! Funcionários, fornecedores e terceiros devem ser instruídos a qualquer observação suspeita.

  • Não é averiguar e sim Notificar!

  • Segundo a ISO 27002:2013,

    "16.1.3 Notificando fragilidades de segurança da informação
    Controle
    Convém que os funcionários e partes externas que usam os sistemas e serviços de informação da organização, sejam instruídos a registrar e notificar quaisquer fragilidades de segurança da informação, suspeita ou observada, nos sistemas ou serviços.
    Diretrizes para implementação
    Convém que todos os funcionários e partes externas notifiquem essas questões para o ponto de contato, o mais rápido possivel, de forma a prevenir incidentes de segurança da informação. O mecanismo de notificação deve ser fácil, acessivel e disponível, sempre que possível.
    Informações adicionais
    Convém que funcionários e fornecedores sejam avisados a não tentar provar suspeitas de fraquezas de segurança. Testar fraquezas pode ser interpretado como potencial mau uso do sistema e pode também causar danos ao serviço ou sistema de informação e resultar em responsabilidade legal para o indivíduo que executou o teste."

  • Sinônimos de averiguar: apurar, INVESTIGAR, certificar

  • Prezados,

    Quando essa questão foi feita a norma em vigência era a ABNT NBR ISO 27002:2005 , hoje já temos a versão 2013, entretanto, segundo a ABNT NBR ISO 27002/2005, temos :

    Diretrizes para implementação – Saber quando e quais autoridades devem ser contatadas e como os incidentes de segurança da informação identificados devem ser notificados em tempo hábil, no caso de suspeita que a lei foi violada. Avisar as organizações que estão sofrendo ataque (provedor de internet, operador de telecomunicações).

    Portanto a questão está errada