SóProvas

ID
695239
Banca
FCC
Órgão
TRF - 2ª REGIÃO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização. Sobre os ativos, segundo a Norma ABNT NBR ISO/IEC 27002:2005, é correto afirmar:

Alternativas
Comentários
  • 7.1.1 Inventário dos ativos
    Controle
    Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido.
    Diretrizes para implementação
    Convém que a organização identifique todos os ativos e documente a importância destes ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo do ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio. Convém que o inventário não duplique outros inventários desnecessariamente, porém ele deve assegurar que o seu conteúdo está coerente. Adicionalmente, convém que o proprietário (ver 7.1.2) e a classificação da informação (ver 7.2) sejam acordados e documentados para cada um dos ativos. Convém que, com base na importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de proteção proporcionais à importância dos ativos sejam identificados (mais informações sobre como valorar os ativos para indicar a sua importância podem ser encontradas na ISO IEC TR 13335-3).
    Informações adicionais
    Existem vários tipos de ativos, incluindo:
    a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e
    informações armazenadas;
    b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
    c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;
    d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;
    e) pessoas e suas qualificações, habilidades e experiências;
    f) intangíveis, tais como a reputação e a imagem da organização.
    Os inventários de ativos ajudam a assegurar que a proteção efetiva do ativo pode ser feita e também pode ser requerido para outras finalidades do negócio, como saúde e segurança, seguro ou financeira (gestão de ativos). O processo de compilação de um inventário de ativos é um pré-requisito importante no gerenciamento de riscos (ver seção 4).

    7.2.2 Rótulos e tratamento da informação
     
    Informações adicionais
    A rotulação e o tratamento seguro da classificação da informação é um requisito-chave para os procedimentos de compartilhamento da informação. Os rótulos físicos são uma forma usual de rotulação. Entretanto, alguns ativos de informação, como documentos em forma eletrônica, não podem ser fisicamente rotulados, sendo necessário usar um rótulo eletrônico. Por exemplo, a notificação do rótulo pode aparecer na tela ou no display. Onde a aplicação do rótulo não for possível, outras formas de definir a classificação da informação podem ser usadas, por exemplo, por meio de procedimentos ou metadados.
  • Comentando cada alternativa:
     
    a) Alternativa correta (vide página 24 da norma).
     
    b) Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo do ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio (vide página 21 da norma).
     
    c) As tarefas de rotina podem ser delegadas, por exemplo, para um custodiante que cuida do ativo no dia-a-dia, porém a responsabilidade permanece com o proprietário (vide página 22 da norma).
     
    d) Convém que, com base na importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de proteção proporcionais à importância dos ativos sejam identificados (vide página 21 da norma).
     
    e) Convém que as análises/avaliações de riscos sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer (vide página 6 da norma). Por isso, o processo de compilação de um inventário de ativos é um pré-requisito importante no gerenciamento de riscos (vide página 21 da norma).