SóProvas

ID
613234
Banca
CESPE / CEBRASPE
Órgão
BRB
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Determinada empresa efetuou, de acordo com a norma
ISO/IEC 27002, análise crítica da sua política de segurança,
iniciando-a por uma área específica. Uma equipe interna de
auditoria, composta por pessoas não relacionadas à área objeto
de análise, foi montada especialmente para essa finalidade.

Considerando essa situação hipotética e o que dispõe a referida
norma, julgue os itens a seguir.

Suponha que a equipe de auditoria, por meio da análise do documento de política de segurança da informação e dos controles estabelecidos para a área avaliada, tenha observado que a referida área estava provendo novos serviços disponibilizados via Web sem avaliação/análise de risco nem detalhamento dos controles de segurança relativos a tais serviços. Nesse caso, é correto afirmar que o procedimento adotado pela área avaliada não atende ao que dispõe a norma em questão.

Alternativas
Comentários
  • Está correto, pois a análise crítica do SGSI deve ter decisões como saídas.

    E não é isso que se observa.
  • Pessoal, está na norma no item 4, temos que:

    (Avaliação/Análise de risco)
    - Convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização.
     
    (Detalhamento dos controles de segurança relativos a tais serviços)
    - Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco).

    Logo, questão correta. A empresa não atende ao que dispõe a norma.

    Bons estudos.

  • Correto, "Nesse caso, é correto afirmar que o procedimento adotado pela área avaliada não atende ao que dispõe a norma em questão."

    Na ISO 27.002 está explicito:

    10 Gerenciamento das operações e comunicações

    10.1.2 Gestão de Mudança

    Convém que modificações nos recursos de processamento da informação e sistemas sejam controladas.

    Convém que os seguintes itens sejam considerados:

    a) identificação e registro das mudanças significativas;

    b) planejamento e teste das mudanças;

    c) avaliação de impactos potenciais, incluindo impactos de segurança, de tais mudanças.

    d) procedimento formal de aprovação das mudanças propostas;

    ...

    Quando mudanças forem realizadas, convém que seja mantido um registro de auditoria contendo todas as informações relevantes.

    Informações Adicionais:

    O controle inadequado de modificações nos sistemas e nos recursos de processamento da informação é uma causa comum de falhas de segurança ou de sistema.


    Visto que a organização não procedeu com as indicações de mudanças, é correto afirmar que o procedimento adotado pela área avaliada não atende ao que dispõe a norma 27.002.

    Podemos avaliar também o tópico da ISO 27.002 quanto a aceitação de sistemas:

    10.3 - Planejamento e aceitação dos sistemas

    10.3.2 - Aceitação de sistemas

    Antes da aceitação formal, deve considerar:

    h) evidência de que tenha sido considerado o impacto do novo sistema na segurança da organização como um todo.


    Sem análise/avaliação de riscos envolvidos no fornecimento de um novo serviço como mencionado na questão, o procedimento estava totalmente em desconformidade com a norma 27.002, colocando inclusive todo o SGSI e a organização em risco, pois poderia está introduzindo vulnerabilidades nos recursos informacionais da organização.

    Bons estudos.

  • Prezados,

    Segundo a norma, em diversas partes delas, novos acessos e ou serviços carecem de uma avaliação/análise de riscos prévia, como vemos em :

    " Convém que controles sejam implementados para garantir a segurança da informação nestas redes, e a proteção dos serviços a elas conectadas, de acesso não autorizado   "

    "  Convém que a introdução de novos sistemas e mudanças maiores em sistemas existentes, siga um
    processo formal de documentação, especificação, teste, controle da qualidade e gestão da
    implementação "

    Portanto a questão está correta, o procedimento adotado não atende a norma.