SóProvas

ID
704266
Banca
CESPE / CEBRASPE
Órgão
MPE-PI
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando que, no desenvolvimento de um novo sistema para a
empresa, um analista seja encarregado de avaliar e monitorar a
utilização de normas e padrões de segurança da informação, julgue
os itens subsequentes.

De acordo com as recomendações da norma ABNT NBR ISO/IEC 27002:2005, o sistema em desenvolvimento deverá ser integrado à parte da gestão dos ativos da empresa, sendo conveniente que seja designada uma pessoa que detenha os direitos de propriedade sobre o ativo.

Alternativas
Comentários

  • Gestão de ativos

    Objetivo:     Alcançar e manter a proteção adequada dos ativos da organização.

    Convém que todos os ativos sejam inventariados e tenham um proprietário responsável.

    Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles. A implementação de controles específicos pode ser delegada pelo proprietário, conforme apropriado, porém o proprietário permanece responsável pela proteção adequada dos ativos.



    Proprietário dos ativos

    Controle: Convém que todas as informações e ativos associados com os recursos de processamento da informação tenham um proprietário designado por uma parte definida da organização.

    O termo “proprietário” identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. O termo "proprietário" não significa que a pessoa realmente tenha qualquer direito de propriedade ao ativo.

    (Parte da ABNT NBR ISO/IEC 27002:2005)

    A última frase, em negrito, aponta o erro da assertiva.

  • Acho que o erro etá aqui:

    10.1.4 Separação dos recursos de desenvolvimento, teste e de produção Controle

    Convém que recursos de desenvolvimento, teste e produção sejam separados para reduzir o risco de acessos
    ou modificações não autorizadas aos sistemas operacionais.

    Fonte: 27002.
  • Rodapé  Pág.22 da norma ISO 27002:
    "O termo "proprietário" NÃO SIGNIFICA que a pessoa realmente
    tenha qualquer DIREITO de propriedade ao ativo."

    Na norma a palavra Proprietário = RESPONSABILIDADE AUTORIZADA para
    controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança
    dos ativos.

    Talvez se estivesse escrito dessa forma ficaria mais fácil de entender:
    "....sendo conveniente que seja designada uma pessoa RESPONSÁVEL sobre o ativo."
    Mas não que detenha o DIREITO de propriedade ao ativo...
  • Segundo a ABNT NBR ISO/IEC 27002:2005, um sistema é um ativo de software. Além disso, essa norma diz também que é conveniente que todos os ativos sejam inventariados e tenham um proprietário responsável.
    A assertiva em questão diz que "... o sistema em desenvolvimento deverá ser integrado à parte da gestão dos ativos ...". Isso significa dizer que o ativo deve ser separado da gestão dos ativos. De acordo com a norma citada, isso está errado.
  • A questao esta ERRADA porque o Ativo é da empresa e nao de um individuo. A um individuo foi delegada a responsabilidade sobre aquele ativo, ele nao é o proprietario do ativo.

  • mais uma do cespe fazendo pegadinha!

  • 8.1.2
    Proprietário dos ativos
    Controle
    Convém que os ativos mantidos no inventário tenham um proprietário.
    Informações adicionais
    O proprietário identificado pode ser um indivíduo ou uma entidade que aprovou a responsabilidade pela gestão, para controlar todo o ciclo de vida de um ativo. O proprietário identificado não tem necessariamente quaisquer direitos de propriedade sobre o ativo.

    FONTE: NBR ISO/IEC 27002:2013

  • O termo proprietário se refere a quem, como autoridade, é responsável pela gestão do sistema. Erro de definição.