Questão Q900926

Em relação aos controles de acesso, a Norma ABNT NBR ISO/IEC 27002:2013 recomenda que

Alternativas

os proprietários dos ativos determinem regras apropriadas de controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários acessarem seus ativos, com o nível de detalhe e o rigor dos controles que reflitam os riscos de segurança da informação associados

os proprietários dos ativos sejam os responsáveis por definir a política de controle de acesso da organização, ficando responsáveis pela sua documentação e análise crítica com base nos requisitos de segurança da informação e dos negócios.

a política de controle de acesso da organização seja feita em documentos e por pessoas distintas, cada qual ficando responsável por elaborar os controles de acesso lógico, os controles de acesso físico e os controles operacionais de forma separada, visando mitigar os riscos de segurança da informação.

seja estabelecida a regra “tudo é permitido a menos que expressamente proibido”, que é mais forte que a regra “tudo é proibido a menos que expressamente permitido”.

seja contemplada a regra geral para todos os perfis de acesso “você não tem permissão para acessar nenhuma informação” para que somente o proprietário da informação possa liberar o acesso à informação quando esta for necessária ao desempenho da função.

Comentários

9.1.1 Política de controle de acesso
Controle
Convém que uma política de controle de acesso seja estabelecida, documentada e analisada criticamente, baseada nos requisitos de segurança da informação e dos negócios.
Diretrizes para implementação
Convém que os proprietários dos ativos determinem regras apropriadas do controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários acessarem seus ativos, com o nível de detalhe e o rigor dos controles que reflitam os riscos de segurança da informação associados.

SóProvas

Continue usando...

O que está incluso