SóProvas


ID
628975
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em uma organização, é importante que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. Segundo a norma ABNT NBR ISO/IEC 27002, é conveniente considerar as seguintes diretrizes, EXCETO:

Alternativas
Comentários
  • Questão fácil, sem nenhuma pegadinha, basta ler atentamente o seguinte trecho da letra D)

    convém que as permissões de acesso sejam concedidas para todas as finalidades, e sejam emitidas somente com instruções sobre procedimentos de emergência.

    Obviamente não se pode conceder permissões de acesso com qualquer finalidade, nem somente com instruções de emergência.

    Nem era necessário conhecer a norma para saber qual alternativa estava errada.
  • Outro erro que considero mais difícil de identificar, também relacionado ao item D, foi:  A data da entrada e saída de visitantes deve ser registrada, e todos os visitantes devem ser supervisionados, mesmo que o seu acesso tenha sido previamente aprovado
    Letra da norma (27002 seção 9.1.2 - Diretrizes para implementação item a): "...todos os visitantes sejam supervisionados, a não ser que o acesso tenha sido previamente aprovado..."
    Abraços, vamo que vamo. 
  • Segue na íntegra para consulta. 

    Segundo a ISO 27002, "9.1.2 Controles de entrada física

    Diretrizes para implementação

    Convém que sejam levadas em consideração as seguintes diretrizes:

    a) a data e hora da entrada e saída de visitantes sejam registradas, e todos os visitantes sejam supervisionados, a não ser que o seu acesso tenha sido previamente aprovado; convém que as permissões de acesso sejam concedidas somente para finalidades específicas e autorizadas, e sejam emitidas com instruções sobre os requisitos de segurança da área e os procedimentos de emergência;

    b) acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria;

    c) seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação, e eles devem avisar imediatamente o pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível;

    d) aos terceiros que realizam serviços de suporte, seja concedido acesso restrito às áreas seguras ou às instalações de processamento da informação sensível somente quando necessário; este acesso deve ser autorizado e monitorado;

    e) os direitos de acesso a áreas seguras sejam revistos e atualizados em intervalos regulares, e revogados quando necessário (ver 8.3.3)."