SóProvas

ID
320851
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles recomendados nas normas 27001 e 27002, assinale a opção correta.

Alternativas
Comentários
  •     a) Todos os controles que constam da norma devem ser implementados. (Errado, a norma não exige que todos os controles sejam implementados, apenas que a não implementação de um controle seja justificada)

        b) A implementação dos controles permite garantir a segurança da informação. (Errado, A implementação dos controles garante que as boas práticas de segurança da informação estão sendo seguidas)

        c) Os controles referentes à segurança de redes não são detalhados. (Correto)

        d) A norma 27001 define os controles que devem ser implementados. (Errado, refere-se a norma 27002)

        e) A norma 27002 define os requisitos de um sistema de gestão de segurança da informação. (Errado, refere-se a norma 27001)
  • Achei muito mal formulada a questão...
    Encontrei os seguintes controles (em negrito) na estrutura da ISO 27002 relacionados com a segurança de redes:
    5. Política de Segurança da Informação
    6. Organizando a Segurança da Informação
    7. Gestão de Ativos
    8. Segurança em Recursos Humanos
    9. Segurança Física e do Ambiente
         9.2. Segurança de Equipamentos     (pág. 35)
                 9.2.3. Segurança do Cabeamento (pág. 37)
                 9.2.4. Manutenção dos Equipamentos (pág. 38)
                 9.2.7. Remoção de Propriedade (pág. 39)
    10. Gerenciamento das Operações e Comunicações
         10.6. Gerenciamento da Segurança em Redes     (pág. 49)
               10.6.1. Controles de Redes (pág. 49)
               10.6.2. Segurança dos Serviços de Redes (pág. 50)
    11. Controle de Acessos
    12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
    13. Gestão de Incidentes de Segurança da Informação
    14. Gestão da Continuidade do Negócio
    15. Conformidade

    Fonte: ABNT NBR ISO/IEC 17799:2005 (27002)

    Como assim "os controles referentes à segurança de redes não são detalhados"?
    Que deus nos ajude...
  • Por que a D está errada? Os controles não estão todos lá explicitados do anexo A (tabela A.1) da 27001?

  • D)A norma 27001 define os controles que devem(PODEM) ser implementados.
  • A questão deveria ter sido anulada. A letra C está correta. 
  • Concordo que deveria ser anulada.

    Para mim a letra C está correta.

  • Ué pessoal, mas a letra C é a letra correta mesmo. Foi pedido qual é a certa, C.


  • Realmente a norma não é muito clara quanto ao detalhamento sobre redes.

    Nós sabemos que tem que ter pelo nosso conhecimento implícito, mas na norma em si não tem nada muito claro, mesmo tendo diversos OBJETIVOS DE CONTROLE espalhados dentre as seções que nos induzem à isso.

  • Respondido por Thiago Fagury de Sá em 13 março 2013 at 13:59


    A) Não, nem todos os controles precisam ser implementados. A declaração de aplicabilidade é usada justamente para explicitar quais serão e quais não serão usados.

    B) Estranhíssima, mas errada. Não considero como resposta correta, uma vez que os controles existem para satisfazer os requisitos e prover segurança da informação. O termo garantia é complicado de ser usado. Portanto, errada.

    C) Errada. Há diversos controles tratando do assunto. Um aspecto importante: concordo parcialmente com a questão no sentido de que os controles não são aprofundados. Mas são detalhados, sim. Se a FCC quis dizer que não há uma seção específica de segurança de redes, tudo bem. Mas não é isso que a assertiva diz. Listo alguns controles de segurança de redes:

    Controles de redes, Segurança dos serviços de rede, Política de uso dos serviços de rede, Identificação de equipamento em redes, Controle de Roteamento e Conexão em Redes ... Se isso não é detalhar controles referentes à segurança de redes, eu não sei o que é.

    O problema aqui é que o boçal que fez a questão não conhece o assunto e a norma, e acha que segurança é provida somente por controles técnicos, mas não gerenciais. 

    D) e E) Estão invertidas.

    Por exclusão, letra C. Mas muito mal elaborada.

  • Eu cai na pegadinha da garantia... kkk


    Não existe sistema 100% seguro e garantido.... bobagem a minha.....

  • Realmente, Marcos. Várias bancas gostam desse termo, "garantir". Vem meio escondido no meio da frase e, normalmente, se refere a alguma alternativa falsa.

    Vamos na fé.

  • Vejam esta questão Com relação à gestão de segurança da informação e às normas NBR

    ISO/IEC 27.001 e 27.002, julgue os itens de 107 a 111.

    Os requisitos de controle, apesar de específicos e detalhados, são aplicáveis à ampla maioria das organizações, independentemente de tipo, tamanho e natureza.

    O gab é errado.

    Pelo que eu entendi de acordo com os comentários do QC e com a norma é que os objetivos de controle são genéricos e que os controles podem ser específicos e detalhados.