SóProvas


ID
2947018
Banca
IADES
Órgão
AL-GO
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Donos de informação podem requisitar que a disponibilidade, disseminação e modificação de qualquer informação seja estritamente controlada e que os ativos sejam protegidos de ameaças por meio de contramedidas.

International Organization for Standardization. ISO/IEC 15408-1: Introduction and general mode, 2009. Tradução livre.

Segundo a ISO/IEC 15408, existem dois elementos principais que devem ser demonstrados para se poder defender a escolha de contramedidas. Esses elementos determinam que as contramedidas devem ser

Alternativas
Comentários
  • LETRA A

    Não li a 15408, mas baseado em princípios lógicos e no conhecimento de outras normas, a letra A é a mais plausível.

  • ISO/IEC 15408 Diz

    Proteger os ativos de interesse é responsabilidade dos proprietários que os valorizam. Os agentes de ameaças reais ou presumidos também podem colocar valor nos ativos e tentar usá-los de maneira contrária aos interesses do proprietário. Exemplos de agentes de ameaças incluem hackers, usuários mal-intencionados, usuários não mal-intencionados (que às vezes cometem erros), processos de computadores e acidentes.

    Os proprietários dos ativos perceberão ameaças como potencial de perdas, de modo que o valor dos ativos para os proprietários seria reduzido. O comprometimento específico de segurança geralmente inclui, mas não se limita a: perda de confidencialidade de ativos, perda de integridade e perda de disponibilidade.

    Essas ameaças, portanto, geram riscos para os ativos, com base na probabilidade de uma ameaça ser percebida e no impacto sobre estes ativos quando essa ameaça é percebida. Posteriormente, as contramedidas são impostas para reduzir os riscos. Essas contramedidas podem consistir em contramedidas de TI (como firewalls e cartões inteligentes) e contramedidas não relacionadas a TI (como proteções e procedimentos). Que podem ser vistas em outras normas ISO/IEC 27001 e ISO/IEC 27002 para uma discussão mais abrangente sobre tais contramedidas de segurança (controles) e como implementá-los e gerenciá-los.

    Proprietários podem ser (responsáveis) por esses ativos e, portanto, devem ser capazes de defender a decisão de aceitar os riscos de expor os ativos às ameaças.

    Dois elementos importantes na defesa desta decisão são demonstrar que:

    • as contramedidas são suficientes: se as contramedidas fizerem o que pretendem fazer, as ameaças aos ativos serão anuladas;

    • as contramedidas estão corretas: as contramedidas fazem o que pretendem fazer.

    Muitos donos de ativos carecem do conhecimento, experiência ou recursos necessários para julgar com suficiência e exatidão as contramedidas, e podem não querer confiar somente nas afirmações dos desenvolvedores. Esses consumidores podem, portanto, optar por aumentar sua confiança na suficiência e correção de algumas ou de todas as suas contramedidas, ordenando uma avaliação das mesmas.