SóProvas

ID
43669
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

A norma NBR/ISO 27002 recomenda que os requisitos para controles de segurança para novos sistemas de informação ou melhorias em sistemas existentes sejam especificados

Alternativas
Comentários
  • A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente.Uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.Letra E)nas especificações de requisitos de negócios dos sistemas.
  • Porque uma "política" deve dar dar os grandes caminhos, de forma genérica, ou seja, deve dizer "O QUE" deve ser feito;A especificação do "COMO" deve ser feito, fica a cargo do documento de requisitos, pois é neste momento que se detalham os objetivos de segurança de informação, levando-se em consideração que os requisitos mudam e evoluem o tempo todo.É natural então que os documentos de requisitos explicitem, caso a caso, as situações requeridas de segurança, toda vez que se desenvolva um novo sistema, ou toda vez que um sistema seja alterado .

  •  A pergunta em questão se refere aos controles de segurança que devem ser "embutidos" no sistema de informação. Assim sendo, conforme explicíta a norma no seu controle 12.1.1. os requisitos de controles de segurança de sistemas de informação devem ser especificados na especificação de requisitos de negócio do sistema de informação.

  • A resposta está no item 4.2 (Tratando os riscos de SI):

    "Convém que os controles de segurança da informação sejam considerados na especificação dos requisitos e nos estágios iniciais dos projetos e sistemas. Caso isso não seja realizado, pode acarretar custos adicionais e soluções menos efetivas..."

    Norma 17799:2005

  • A resposta a essa questão se encontra na Norma 27002 seção 12.1.1 que se refere aos requisitos de segurança dos sistemas de informação.
    É apresentado o seguinte controle:
    "Convém que sejam especificados os requisitos para controles de segurança nas especificações de requisitos de negócio, para novos sistemas de informação ou melhorias em sistemas existentes."