Questão Q982337

Donos de informação podem requisitar que a disponibilidade, disseminação e modificação de qualquer informação seja estritamente controlada e que os ativos sejam protegidos de ameaças por meio de contramedidas.

International Organization for Standardization. ISO/IEC 15408-1: Introduction and general mode, 2009. Tradução livre.

Segundo a ISO/IEC 15408, existem dois elementos principais que devem ser demonstrados para se poder defender a escolha de contramedidas. Esses elementos determinam que as contramedidas devem ser

Alternativas

corretas, ou seja, capazes de fazer o que afirmam, e suficientes, ou seja, caso corretas, devem neutralizar as ameaças.

corretas, ou seja, capazes de fazer o que afirmam, e imprevisíveis, ou seja, devem ser difíceis de prever.

imprevisíveis, ou seja, devem ser difíceis de se prever, e suficientes, ou seja, caso corretas devem neutralizar as ameaças.

complexas, ou seja, difíceis de se compreender, e suficientes, ou seja, caso corretas devem neutralizar as ameaças.

imprevisíveis, ou seja, devem ser difíceis de se prever, e complexas, ou seja, difíceis de se compreender.

Comentários

LETRA A

Não li a 15408, mas baseado em princípios lógicos e no conhecimento de outras normas, a letra A é a mais plausível.
ISO/IEC 15408 Diz

Proteger os ativos de interesse é responsabilidade dos proprietários que os valorizam. Os agentes de ameaças reais ou presumidos também podem colocar valor nos ativos e tentar usá-los de maneira contrária aos interesses do proprietário. Exemplos de agentes de ameaças incluem hackers, usuários mal-intencionados, usuários não mal-intencionados (que às vezes cometem erros), processos de computadores e acidentes.

Os proprietários dos ativos perceberão ameaças como potencial de perdas, de modo que o valor dos ativos para os proprietários seria reduzido. O comprometimento específico de segurança geralmente inclui, mas não se limita a: perda de confidencialidade de ativos, perda de integridade e perda de disponibilidade.

Essas ameaças, portanto, geram riscos para os ativos, com base na probabilidade de uma ameaça ser percebida e no impacto sobre estes ativos quando essa ameaça é percebida. Posteriormente, as contramedidas são impostas para reduzir os riscos. Essas contramedidas podem consistir em contramedidas de TI (como firewalls e cartões inteligentes) e contramedidas não relacionadas a TI (como proteções e procedimentos). Que podem ser vistas em outras normas ISO/IEC 27001 e ISO/IEC 27002 para uma discussão mais abrangente sobre tais contramedidas de segurança (controles) e como implementá-los e gerenciá-los.

Proprietários podem ser (responsáveis) por esses ativos e, portanto, devem ser capazes de defender a decisão de aceitar os riscos de expor os ativos às ameaças.
Dois elementos importantes na defesa desta decisão são demonstrar que:

• as contramedidas são suficientes: se as contramedidas fizerem o que pretendem fazer, as ameaças aos ativos serão anuladas;
• as contramedidas estão corretas: as contramedidas fazem o que pretendem fazer.

Muitos donos de ativos carecem do conhecimento, experiência ou recursos necessários para julgar com suficiência e exatidão as contramedidas, e podem não querer confiar somente nas afirmações dos desenvolvedores. Esses consumidores podem, portanto, optar por aumentar sua confiança na suficiência e correção de algumas ou de todas as suas contramedidas, ordenando uma avaliação das mesmas.

SóProvas

Continue usando...

O que está incluso