Questão Q234754

Question

Dada a inviabilidade de se preparar uma resposta a cada ameaça possível, deve-se verificar, na auditoria da segurança do sistema, se as ameaças ignoradas consideram a probabilidade de ocorrência do ataque e o impacto provocado no caso de sucesso.

Answer

Depois de identificado o potencial de ataque, as organiza&ccedil;&otilde;es t&ecirc;m que decidir o n&iacute;vel de seguran&ccedil;a a estabelecer para uma rede ou sistema os recursos f&iacute;sicos e l&oacute;gicos a necessitar de prote&ccedil;&atilde;o. No n&iacute;vel de seguran&ccedil;a devem ser quantificados os custos associados aos ataques e os associados &agrave; implementa&ccedil;&atilde;o de mecanismos de prote&ccedil;&atilde;o para minimizar a probabilidade de ocorr&ecirc;ncia de um ataque.

Answer

6 Auditorias internas do SGSI

A organização deve conduzir auditorias internas no SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos de seu SGSI:

a) Obedecem aos requisitos desta Norma e à legislação pertinente ou regulamentos;

b) Obedecem aos requisitos de segurança da informação identificadas;

c) São efetivamente implementados e mantidos; e

d) São executados conforme esperado.

Anexo A (normativo)

Objetivos de controle e controles

A.14.1.2 Continuidade de negócios e avaliação de risco

Controle

Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções

Fonte: NBR ISO 27.001

Answer

Erro de português nessa afirmação: "...as ameaças ignoradas consideram a probabilidade...". As ameaças ignoradas não consideram nada. Quem tem que considerar é a organização. Sei que é preciosismo, por isso respondi certo, mas existe o erro.

Answer

Acho que o gabarito deveria ser ERRADO. Não se ignora uma ameaça, apenas se aceita os riscos.

Answer

GABARITO: CERTO.

SóProvas

Continue usando...

O que está incluso