SóProvas

ID
2565814
Banca
CESPE / CEBRASPE
Órgão
TRE-TO
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a norma ABNT NBR ISO/IEC 27002:2013, a segurança da informação deve ser apoiada por políticas de tópicos específicos, que exigem a implementação de controles de segurança e que sejam estruturadas para considerar as necessidades de certos grupos de interesse dentro da organização. A partir dessas informações, assinale a opção que apresenta um exemplo de política com tópico específico considerado pela referida norma.

Alternativas
Comentários

  • 10 Criptografia

    10.1 Controles criptográficos
    Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação.

  • LETRA E.

    Segundo a ISO 27002:2013,"10.1.1
    Política para o uso de controles criptográficos
    Controle
    Convém que seja desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação."

  • No nível mais baixo, convém que a política de segurança da informação seja apoiada por políticas de tópicos específicos, que exigem a implementação de controles de segurança e que sejam estruturadas para considerar as necessidades de certos grupos de interesse dentro da organização ou para cobrir tópicos específicos.

     

    São exemplos de políticas com tópicos específicos:

     

    a) controle de acesso (ver 9);
    b) classificação e tratamento da informação (ver 8.2);
    c) segurança física e do ambiente (ver 11);
    d) tópicos orientados aos usuários finais:

     

             1) uso aceitável dos ativos (ver 8.1.3);
             2) mesa Limpa e Tela Limpa (ver11.2.9);
             3) transferência de informações (ver 13.2.1);
             4) dispositivos móveis e trabalho remoto (ver 6.2);
             5) restrições sobre o uso e instalação de software (ver 12.6.2);

     

    e) backup (ver 12.3);
    f) transferência da informação (ver 13.2);
    g) proteção contra códigos maliciosos (ver 12.2);
    h) gerenciamento de vulnerabilidades técnicas (ver 12.6.1);
    i) Controles criptográficos (ver 10);
    j) segurança nas comunicações (ver 13);
    k) proteção e privacidade da informação de identificação pessoal (ver 18.1.4);
    l) relacionamento na cadeia de suprimento (ver 15).

     

    Convém que estas políticas sejam comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes, por exemplo, no contexto de um programa de conscientização, educação e treinamento em segurança da informação.

  • LETRA E

    A redação da questão tá muito complicada, o CESPE é mestre em fazer isso.

    Mas ao pensar um pouquinho conseguimos chegar a resposta correta, apesar de eu ter errado kkkk.

    Os tópicos das letras A, B e C não são tratados na norma, o Tópico C é tratado especificamente na ISO27005. Nos restando a letra E.

  • 5.1.1 Políticas para segurança da informação

    Controle: Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

    Diretrizes para implementação: Convém que no mais alto nível a organização defina uma política de segurança da informação, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação.

    Convém que as políticas de segurança da informação contemplem requisitos oriundos de:

    a) estratégia do negócio;

    b) regulamentações, legislação e contratos;

    c) ambiente de ameaça da segurança da informação, atual e futuro.

    Convém que a política de segurança da informação contenha declarações relativas a:

    a) definição de segurança da informação, objetivos e princípios para orientar todas as atividades relativas à segurança da informação;

    b) atribuição de responsabilidades, gerais e específicas, para o gerenciamento da segurança da informação para os papéis definidos;

    c) processos para o tratamento dos desvios e exceções.

    No nível mais baixo, convém que a política de segurança da informação seja apoiada por políticas específicas do tema, que exigem a implementação de controles de segurança e que sejam estruturadas para considerar as necessidades de certos grupos de interesse dentro da organização ou para cobrir tópicos específicos. São exemplos de tais temas de política:

    a) controle de acesso (ver 9);

    b) classificação e tratamento da informação (ver 8.2);

    c) segurança física e do ambiente (ver 11);

    d) tópicos orientados aos usuários finais:

    1) uso aceitável dos ativos (ver 8.1.3);

    2) mesa Limpa e Tela Limpa (ver11.2.9);

    3) transferência de informações (ver 13.2.1);

    4) dispositivos móveis e trabalho remoto (ver 6.2);

    5) restrições sobre o uso e instalação de software (ver 12.6.2);

    e) backup (ver 12.3);

    f) transferência da informação (ver 13.2);

    g) proteção contra malwares (ver 12.2);

    h) gerenciamento de vulnerabilidades técnicas (ver 12.6.1);

    i) Controles criptográficos (ver 10);

    j) segurança nas comunicações (ver 13);

    k) proteção e privacidade da informação de identificação pessoal (ver 18.1.4);

    l) relacionamento na cadeia de suprimento (ver 15).