SóProvas

ID
245335
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

O objetivo de controle Análise Crítica dos Direitos de Acesso de Usuário estabelece que deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

Alternativas
Comentários

  • ERRADO.

    O item descreve o controle A.11.2.1 e diz ser o A.11.2.4. Só um detalhe. A norma tem 133 controle. Impossível decorar tudo!!!

    A.11.2.1  Registro de usuário
    Controle
    Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

    A.11.2.4 Análise crítica dos direitos de acesso de usuário
    Controle
    O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal.

  • Se não for excesso de formalismo, daria para matar  pelo enunciado, pois diz que Análise Crítica dos Direitos de Acesso de Usuário é um objetivo de controle. Fui de errado por causa disto.
    Mas como diz o Machado (considerando que não haja o rigor na nomenclatura) só conhecendo todos os 133 controles. Aí fica osso.
  • Fechei os olhos e marquei errado exatamente por "Análise Crítica dos Direitos de Acesso de Usuário" não ser um objetivo de controle e sim um controle. Poxa, é impossível decorar isso! E o pior é que cada vez mais questões que, não satisfeitas em cobrar Categorias,Objetivos de Controle e Controles, cobram as DIRETRIZES! Como se não existisse maldade suficiente no mundo...

  • Segundo a ISO 27002:2013,"

    9.2.1 Registro e cancelamento de usuário
    Controle
    Convém que um processo formal de registro e cancelamento de usuário seja implementado para permitir atribuição de direitos de acesso.

    ___________________

    9.2.5 Análise crítica dos direitos de acesso de usuário
    Controle
    Convém que os proprietários de ativos analisem criticamente os direitos de acesso dos usuários, a intervalos regulares.

    "

     

  • ERRADO

    "...para garantir e revogar acessos em todos os sistemas de informação e serviços..." - Não são todos os sistemas que precisam de controle de acesso, apesar de ser recomendado, como exemplo um sistema de pesquisas de um biblioteca pública.

    E nem é necessário garantir ou revogar acesso a TODOS os sistemas, o usuário só deve ter acesso aos sistemas aos quais ele tem necessidade.

    Analisando isso não se faz necessário decorar todos os controles.