-
Letra C
9.2.3 Gerenciamento de direitos de acesso privilegiados
Controle
Convém que a concessão e uso de direitos de acesso privilegiado sejam restritos e controlados.
Diretrizes para implementação
Convém que a alocação de direitos de acesso privilegiado seja controlada por meio de um processo de autorização formal, de acordo com a política de controle de acesso pertinente (ver 9.1.1).
Convém que os seguintes passos sejam considerados:
a) os direitos de acesso privilegiados, associados a cada sistema ou processo, por exemplo, sistema operacional, sistemas de gerenciamento de banco de dados e cada aplicação, e de categorias de usuários para os quais estes necessitam ser concedido, sejam identificados;
b) os direitos de acesso privilegiado sejam concedidos a usuários conforme a necessidade de uso e com base em eventos alinhados com a política de controle de acesso (ver 9.1.1), baseado nos requisitos mínimos para sua função;
c) um processo de autorização e um registro de todos os privilégios concedidos sejam mantidos. direitos de acesso privilegiados não sejam concedidos até que todo o processo de autorização esteja finalizado;...
Fonte: ISO 27002:2013 - pág. 34
-
9 Controle de acesso
9.2.3Gerenciamento de direitos de acesso privilegiados
Controle
Convém que a concessão e uso de direitos de acesso privilegiado sejam restritos e controlados.
Diretrizes para implementação
Convém que a alocação de direitos de acesso privilegiado seja controlada por meio de um processo de autorização formal, de acordo com a política de controle de acesso pertinente (ver 9.1.1).
Convém que os seguintes passos sejam considerados:
a)os direitos de acesso privilegiados, associados a cada sistema ou processo, por exemplo, sistema operacional, sistemas de gerenciamento de banco de dados e cada aplicação, e de categorias de usuários para os quais estes necessitam ser concedido, sejam identificados;
b)os direitos de acesso privilegiado sejam concedidos a usuários conforme a necessidade de uso e com base em eventos alinhados com a política de controle de acesso (ver 9.1.1), baseado nos requisitos mínimos para sua função;
c)um processo de autorização e um registro de todos os privilégios concedidos sejam mantidos. direitos de acesso privilegiados não sejam concedidos até que todo o processo de autorização esteja finalizado;
d)requisitos para expirar os direitos de acesso privilegiado sejam definidos;
e)os direitos de acesso privilegiados sejam atribuídos a um ID de usuário diferente daqueles usados nas atividades normais do negócio. As atividades normais do negócio não sejam desempenhadas usando contas privilegiadas;
f)as competências dos usuários com direitos de acesso privilegiado sejam analisadas criticamente a intervalos regulares, para verificar se eles estão alinhados com as suas obrigações;
g)procedimentos específicos sejam estabelecidos e mantidos para evitar o uso não autorizado de ID de usuário de administrador genérico, de acordo com as capacidades de configuração dos sistemas;
h)para o ID de usuário de administrador genérico, a confidencialidade da informação de autenticação secreta seja mantida quando for compartilhada (por exemplo, mudanças de senhas com frequência e tão logo quanto possível, quando um usuário privilegiado deixa a organização ou muda de função, comunicação entre os usuários privilegiados por meio de mecanismos apropriados).
Informações adicionais
Uso inapropriado de privilégios de administrador de sistemas (qualquer característica ou recursos de sistemas de informação que habilitam usuários a exceder o controle de sistemas ou aplicações) pode ser um grande fator de contribuição para falhas ou violações de sistemas.
-
Errei essa questão. Entretanto, talvez, a resposta já estivesse no próprio enunciado.
Janaína pretende padronizar seus procedimentos de controle de acesso, com base na norma ISO 27002. A parte referente ao controle de acesso privilegiado cita, de forma geral, que o acesso deve ser restrito e controlado e que se institua um processo formal de concessão de privilégios.
Perceba que o proprio enunciado cita partes do tramite a ser feito.
Sobre a letra A) - Sinceramente, sem sentido. Como que os direitos de acesso privilegiado não precisam de acesso?
Sobre a letra B) - Eu acho que o erro está em mencionar com base nos eventos alinhados com a politica de acesso da empresa - Me soou algo como acordado em reunião e liberou determinado acesso (meio que "de boca".
Sobre a letra C) - Gabarito
Sobre a letra D) sem atualização dos requisitos?
Sobre a letra E) tem um linguajar meio ligado à pessoa e nao ao papel.
-
Analisando os itens:
a) Naturalmente os direitos de acesso privilegiados precisam de identificação. Item errado;
b) Os direitos de acesso privilegiados são concedidos aos usuários conforme a NECESSIDADE DE USO, e não em função da hierarquia. Item errado;
c) Item correto!
d) Naturalmente, os requisitos devem ser constantemente atualizados a intervalos regulares;
e) Procedimentos específicos devem ser estabelecidos para separar os direitos privilegiados dos acessos genéricos.
Resposta certa, alternativa c).