SóProvas

ID
659986
Banca
FCC
Órgão
TRE-CE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à norma ISO/IEC 27002, considere:

I. Para definição de uma estratégia de continuidade de negócios deve-se ter como meta o tempo esperado de recuperação, que, por sua vez, é derivado dos períodos máximos toleráveis de interrupção.

II. Os requisitos para controles de segurança de novos sistemas de informação ou melhorias em sistemas existentes devem constar nas especificações de requisitos de negócios dos sistemas.

III. Convém que os registros (log) de auditoria incluam, quando relevantes, os registros das tentativas de acesso ao sistema aceitas e rejeitadas.

IV. Entre os objetivos de controle de manuseio de mídias inclui-se o controle de descarte de mídias, sendo previstas, nessas normas, diretrizes de implementação para o descarte de forma segura e protegida.

Está correto o que se afirma em:

Alternativas
Comentários
  • O item II afirma que:
    "II. Os requisitos para controles de segurança de novos sistemas de informação ou melhorias em sistemas existentes devem constar nas especificações de requisitos de negócios dos sistemas."

    Já a norma ISO/IEC 27002/2005:
    12.1.1 Análise e especificação dos requisitos de segurança
    CONVÉM que sejam especificados os requisitos para controles de segurança nas especificações de requisitosde negócios
    para novos sistemas de informação ou melhorias em sistemas existentes.

    Sendo assim, o item está incorreto, consequentemente o gabarito deveria corresponder à letra C.
  • Discordo do comentário anterior!

    O item II não está afirmando que devem existir os controles citados. No meu entendimento, o que o item afirma é que:

    II. Os requisitos para controles de segurança de novos sistemas de informação ou melhorias em sistemas existentes (caso sejam definidos) devem constar nas especificações de requisitos de negócios dos sistemas.

    O que, nesse sentido, tornaria o item verdadeido.

    Quanto aos demais itens, assim como o item II,  todos possuem correspondência com a citada norma.
  • Parafraseando Gabriel Pacheco: "Não se apegue a preciosismos". O contexto do item já o caracterizava como correto.
  • Qual item da 27002 corrobora o ITEM I?
  • @MArcelo,
    O que eu encontrei na ISO para a sua pergunta foi:
    "14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação  
    Controle
    Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.
    "
    Fiquei em dúvida com relação a esse item também.
    Não é maior o foco do Plano de Continuidade para a ISO 27002 , mas faz sentido.
  • Com relação ao ITEM I, realmente não encontrei nada EXPLÍCITO na 27002.

    Na verdade só encontrei mesmo na NBR 15999-1:

    2.32 
    tempo objetivado  de recuperação (RTO  -  recovery time objective) 
    tempo alvo para: 
    retomada da entrega de produtos ou serviços após um incidente; ou 
    recuperação do desempenho de uma  atividade  após um incidente; ou 
    recuperação de um sistema ou aplicação de Tl após um incidente. 
    NOTA O tempo objetivado de recuperação deve ser menor que o período máximo de interrupção tolerável

  • Gabarito deveria ser C. A 27002 traz boas práticas, não é mandatória, logo não se vê palavras como DEVE.

  • Também acho que a II está errada.

  • LETRA E