SóProvas

ID
270931
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação e de sistemas de gestão de
segurança da informação (SGSIs), julgue os próximos itens.

De acordo com as normas de segurança de TI, o desenvolvimento de práticas de gestão da segurança da informação e procedimentos de segurança contempla a gestão de ativos, que, por sua vez, inclui, entre outros, o inventário dos ativos, a identificação do proprietário dos ativos e as diretivas de classificação de informação.

Alternativas
Comentários

  • CERTO

    Desmembrando a danada.

    1) De acordo com as normas de segurança de TI, o desenvolvimento de práticas de gestão da segurança da informação e procedimentos de segurança contempla 

    **Qual norma, por exemplo? R: ABNT NBR ISO/IEC 27001.



    2)a gestão de ativos, que, por sua vez, inclui, entre outros, 

    **Essa norma possui entre outras, a seção A.7 Gestão de ativos


    3)o inventário dos ativos, a identificação do proprietário dos ativos e as diretivas de classificação de informação.

    R: Na seção Gestão de Ativos há a seguinte estrutura:

         A.7.1 Responsabilidade pelos ativos

                A.7.1.1 Inventário dos ativos

                A.7.1.2 Proprietário dos ativos

                A.7.1.3 Uso aceitável dos ativos

        A.7.2 Classificação da informação

                A.7.2.1 Recomendações para classificação

                A.7.2.2 Rótulos e tratamento da informação


  • 4. Gestão de Ativos 

    a. Responsabilidade pelos ativos 

    Objetivo - Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos.

    i. Inventário dos ativos 

    Convém que os ativos associados à informação e aos recursos de processamento da informação sejam identificados e um inventário destes ativos seja estruturado e mantido.

    ii. Proprietário dos ativos 

    Convém que os ativos mantidos no inventário tenham um proprietário

    iii. Uso aceitável dos ativos

    Convém que regras para o uso aceitável das informações, dos ativos associados com a informação e dos recursos de processamento da informação sejam identificados, documentadas e implementadas.

     iv. Devolução dos ativos

    Convém que todos os funcionários e partes externas devolvam todos os ativos da organização que estejam em sua posse, após o encerramento de suas atividades, do contrato ou acordo.

     b. Classificação da Informação 

    Objetivo - Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.

    i. Classificação da Informação 

    Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.

    ii. Rótulos e tratamento da Informação

    Convém que um conjunto apropriado de procedimento para rotular e tratar a informação seja desenvolvido e implementado de acordo com o esquema de classificação da informação adotada pela organização.

    iii. Tratamento dos Ativos 

    Convém que os procedimentos para tratamento dos ativos sejam desenvolvidos e implementados de acordo com esquema de classificação da informação adotada pela organização.

    c. Tratamento de Mídias 

    Objetivo -  Prevenir a divulgação não autorizada, modificação, remoção ou destruição da informação armazenada nas mídias.

    i. Gerenciamento de mídias removíveis 

    Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis de acordo com o esquema de classificação adotado para organização

    ii. Descarte de mídias 

    Convém que as mídias sejam descartadas de forma segura, quando não forem mais necessárias, por meio de procedimentos formais.

    iii. Transferência física de mídias

    Convém que mídias contendo informações sejam protegidas contra acesso não autorizado, uso impróprio ou corrupção, durante o transporte.