-
Gerenciamento da operações e comunicações
A.10.1 _ Procedimentos e responsabilidade operacionais
Objetivos: Garantir a operaçao segura e correta dos recursos de processamento da informação.
A.10.1.3 - Segregação das funções
Controle: Funções e áreas de responsabilidades devem ser segregadas para reduzir as oportunidades de modificação ou uso individo não autorizado ou não intencional dos ativos da organização.
-
Apenas complementando o comentário da Fernanda Gomes:
Iso 27002
10.1.3 Segregação de funções
Controle
Convém que funções e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização.
Diretrizes para implementação A segregação de funções é um método para redução do risco de uso indevido acidental ou deliberado dos
sistemas. Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção. Convém que o início de um evento seja separado de sua autorização. Convém que a possibilidade de existência de conluios seja considerada no projeto dos controles.
As pequenas organizações podem considerar a segregação de funções difícil de ser implantada, mas convém que o seu princípio seja aplicado sempre que possível e praticável. Onde for difícil a segregação, convém que outros controles, como a monitoração das atividades, trilhas de auditoria e o acompanhamento gerencial, sejam considerados. É importante que a auditoria da segurança permaneça como uma atividade independente.
-
a B está errada porque ela faz parte do item A.6.1.2 - Coordenação da segurança da informação
-
Segundo a norma ISO/IEC 27002 a segregração de funções encontra-se na seção de Gestão de Operações e Comunicações
-
Segundo a ISO 27002:2013,
"6.1.2 Segregação de funções
Diretrizes para implementação
Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção."
-
Atualizando segundo a ISO 27002:2013:
6 Organização da segurança da informação
6.1.2 Segregação de funções
-
Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção."
Não está muito claro...então se essa pessoa tiver a devida autorização, poderá acessar todos os ativos...isso não é segregar funções!
Acho que o mais correto seria: Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar todos os ativos da organização."
-
Pelo que aprendi, segregar funções, tem a ver com o fato de os proprietários dos ativos serem de diferentes setores, e ainda que os sistemas não se encontrem unicamente em um servidor ou num mesmo hd ou num mesmo espaço físico...
-
LETRA C
-
Não basta decorar os controles dessa merd@, tem que saber também em qual seção e subseção eles podem ser encontrados