SóProvas

ID
2857582
Banca
FCC
Órgão
MPE-PE
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

O gerenciamento e o controle de acesso dos usuários são fundamentais no esquema de segurança da informação. De acordo com a norma NBR ISO/IEC 27002:2013, o gerenciamento de direitos de acesso privilegiados deve considerar

Alternativas
Comentários

  • No controle Gerenciamento de direitos de acesso privilegiados pg 35 da norma, em diretrizes para  implementação :

    g) procedimentos específicos sejam estabelecidos e mantidos para evitar o uso não autorizado de ID 
    de usuário de administrador genérico, de acordo com as capacidades de configuração dos 
    sistemas; 

     

    Gab D

  • LETRA D


    Atenção para a sutileza da questão. A FCC costuma fazer questões que aparentemente parecem difíceis, mas ao lermos com cuidado conseguimos chegar a resposta mais facilmente:


    "...o gerenciamento de direitos de acesso privilegiados...'


    Quem tem acesso privilegiado? Geralmente são os Administradores ou Usuários especiais. A letra D é a única que fala sobre isso. Então ao lermos com atenção podemos facilitar muito a nossa resposta em caso de dúvida.

  • 9 Controle de acesso

    9.1 Requisitos do negócio para controle de acesso

    Objetivo: Limitar o acesso à informação e aos recursos de processamento da informação.

    9.2.3 Gerenciamento de direitos de acesso privilegiados

    Controle

    Convém que a concessão e uso de direitos de acesso privilegiado sejam restritos e controlados.

    Diretrizes para implementação

    Convém que a alocação de direitos de acesso privilegiado seja controlada por meio de um processo de autorização formal, de acordo com a política de controle de acesso pertinente (ver 9.1.1).

    Convém que os seguintes passos sejam considerados:

    a) os direitos de acesso privilegiados, associados a cada sistema ou processo, por exemplo, sistema operacional, sistemas de gerenciamento de banco de dados e cada aplicação, e de categorias de usuários para os quais estes necessitam ser concedido, sejam identificados;

    b)os direitos de acesso privilegiado sejam concedidos a usuários conforme a necessidade de uso e com base em eventos alinhados com a política de controle de acesso (ver 9.1.1), baseado nos requisitos mínimos para sua função;

    c)um processo de autorização e um registro de todos os privilégios concedidos sejam mantidos. direitos de acesso privilegiados não sejam concedidos até que todo o processo de autorização esteja finalizado;

    d)requisitos para expirar os direitos de acesso privilegiado sejam definidos;

    e)os direitos de acesso privilegiados sejam atribuídos a um ID de usuário diferente daqueles usados nas atividades normais do negócio. As atividades normais do negócio não sejam desempenhadas usando contas privilegiadas;

    f)as competências dos usuários com direitos de acesso privilegiado sejam analisadas criticamente a intervalos regulares, para verificar se eles estão alinhados com as suas obrigações;

    g)procedimentos específicos sejam estabelecidos e mantidos para evitar o uso não autorizado de ID de usuário de administrador genérico, de acordo com as capacidades de configuração dos sistemas;

    h) para o ID de usuário de administrador genérico, a confidencialidade da informação de autenticação secreta seja mantida quando for compartilhada (por exemplo, mudanças de senhas com frequência e tão logo quanto possível, quando um usuário privilegiado deixa a organização ou muda de função, comunicação entre os usuários privilegiados por meio de mecanismos apropriados).

  • Não é tão simples assim como o Concursei de TI coloca. Por exemplo, vejam o que diz o item "b" das diretrizes de implementação deste controle:

    9 Controle de acesso

    9.1 Requisitos do negócio para controle de acesso

    Objetivo: Limitar o acesso à informação e aos recursos de processamento da informação.

    9.2.3 Gerenciamento de direitos de acesso privilegiados

    Controle

    Convém que a concessão e uso de direitos de acesso privilegiado sejam restritos e controlados.

    Diretrizes para implementação

    (...)

    c)um processo de autorização e um registro de todos os privilégios concedidos sejam mantidos. direitos de acesso privilegiados não sejam concedidos até que todo o processo de autorização esteja finalizado;

    (...)

    E o que diz a questão A:

    a) garantia de que os direitos de acesso não estão ativados (por exemplo, por provedores de serviços) antes que o procedimento de autorização esteja completo.

    Ou seja, se não for decoreba, não tem mesmo como acertar a questão.

  • Para complementar, vou expor os erros das demais alternativas:

    a) ERRADA: o correto é que os direitos de acesso não sejam CONCEDIDOS até a finalização do processo

    b) ERRADA: não há a concessão de credenciais temporárias;

    c) ERRADA: não há procedimentos para verificar a identidade do usuário, apenas sua competência (é competente ou não para ter acesso privilegiado?). Também não há a concessão de credenciais de uso temporário;

    d) GABARITO;

    e) ERRADA: não faz parte dessa regra, e sim de uma regra geral, que se aplica a todos os usuários. 

  • Eu fiquei com a pulga atrás da orelha por causa dessa letra A. Aí fui ler a Norma novamente e vi que existia essa opção na página 33, subitem 9.2.2, letra c. Essa é a pior Norma para estudar e fazer questões. Deve ser por isso, que as bancas a adoram. Além de saber qual o controle e suas informações, tem que saber associar com a qual controle está a resposta. Muito complicado, mas vamos que vamos.

  • Não entendo a própria norma. Por que existir um "ID de usuário de administrador genérico"? Como vou fazer auditoria e eventualmente punir violações de um usuário genérico que pode ser qualquer pessoa?