SóProvas

ID
629017
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à análise/avaliação de riscos descrita na norma ABNT NBR ISO/IEC 27002, analise:

I. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e às vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

II. Não é conveniente que a análise/avaliação de riscos seja repetida periodicamente para não impactar negativamente nos custos dos projetos de TI.

III. Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a zero.

IV. Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco).

Está correto o que consta em

Alternativas
Comentários
  • II. ERRADO. Todo o processo de análise crítica da norma deve ser feito periodicamente.
    III. ERRADO. A seleção de controles faz parte da etapa de TRATAMENTO do risco, que está na Gerência do Risco. A Análise de Risco envolve a Identificação e a Estimativa dos riscos, enquanto que a Avaliação dos Riscos é o processo de comparar os riscos estimados com os critérios de risco para determinar a significância do risco.

    I e IV estão corretas. Com a ressalva de quem compara alguma coisa, geralmente compara algo COM outro, não algo CONTRA outro.
  • Pela ISO 27002 temos:

    I. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e às vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio. (Correto - 4.1 Analisando/avaliando os Riscos de segurança da informação)

    II. Não é conveniente que a análise/avaliação de riscos seja repetida periodicamente para não impactar negativamente nos custos dos projetos de TI. (Errado - 4.1 Analisando/avaliando os Riscos de segurança da informação - prega exatamente o contrário)

    III. Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a zero. (Errado - 4.2 Tratando os Riscos de segurança da informação - Os riscos podem ser: aceitos, reduzidos, evitados ou transferidos)

    IV. Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). (Correto - 4.1 Analisando/avaliando os Riscos de segurança da informação)

  • Resolução:


    Logo, você percebe que o item II está Incorreto.

    Portanto, NÃO pode ser as alternativas A,B e E.

    Sobram C e D. Que possuem itens I e IV, a decisão está em saber a resposta da III.

    III ---> implementados para assegurar que os riscos sejam reduzidos a um nível aceitável.


    "Letra D". Assim chegaremos lá!



  • Riscos sempre existem. Nunca cairão a zero.