SóProvas

ID
801295
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles a serem implementados em um SGSI,
julgue os itens seguintes.

Acordos de não divulgação que reflitam as necessidades da organização para proteção da informação devem ser revisados sempre que houver vazamento de informação.

Alternativas
Comentários
  • De acordo com a Norma 27.002, não existe a palavra "devem" e sim "convém":
    6.1.5 Acordos de confidencialidade
    Convém que os requisitos para os acordos de confidencialidade e de não divulgação sejam analisados criticamente de forma periódica e quando mudanças ocorrerem que influenciem estes requisitos.
    Portanto, questão incorreta.
  • Devo discordar do colega acima. O fato da questão estar errada não tem haver com a utilização do verbo e sim com a afirmação final: "devem ser revisados sempre que houver vazamento de informação". Ora, de acordo com a afirmação, somente quando houver vazamento de informação é que iremos revisar os acordos de não divulgação.

    De acordo com a norma, esses acordos devem ser revistos de forma regular.

    O verbo dever é usado na descrição do controle no anexo A da norma 27001: "A.6.1.5 - Acordos de confidencialidade: Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação devem ser identificados e analisados criticamente, de forma regular. "
  • @Thiago

    Discordo. A questão, da forma como está redigida, não fica claro que: SOMENTE quando houver vazamento de informação os acordos de não divulgação devem ser revisados.

    A Cespe pode até ter tido a intenção de cobrar isso, porém, da maneira como está escrito, dá margem para mais de uma interpretação.

    Um exemplo exagerado. Se eu digo: Quando acontece um roubo, a polícia deve fazer seu trabalho.

    Isso significa que a polícia SOMENTE deve fazer seu trabalho quando houver um roubo? Lógico que não. Mas, isso faz  afirmação ser errada? 

    Faça a mesma analogia na questão e verá que ela pode ser considerada Certa.

    Resumindo, se a intenção do CESPE foi cobrar isso, faltou um SOMENTE, ou algo que deixasse claro que essa seria uma situação que excluísse outras possibilidades.

  • Questão mal elaborada, dando margem a mais de uma interpretação! Acho que não fizeram recurso, mas dava pra ser anulada!
  • Desculpe pessoal, mas acho que vcs estão procurando chife em cabeça de cavalo.
    A questão esta dizendo que quando ouver vazamento de informação, ou seja UMA FALHA NA SEGURANÇA, deve-se  revisar os acordos de proteção da informação. Ou seja, ao invés de consertar/revisar a falha ocorrida, altera-se o acordo para que ele nÃo contemple esta falha.. 
    Afirmação sem sentido.
  • Acordos de não divulgação que reflitam as necessidades da organização para proteção da informação devem ser revisados sempre que houver vazamento de informação.

    De acordo com a norma ISO 27002, na seção 6.1.5 (Acordos de confidencialidade), tem-se:

    " Diretrizes para Implementação
       ..... Para identificar os requisitos para os acordos de confidencialidade ou de não divulgação, convém que sejam considerados os seguintes elementos:

       j) ações esperadas a serem tomadas no caso de uma violação deste acordo"

    Dessa forma, o erro está em afirmar algo que não consta na norma.
    ps.: sobre o "convém" e "deve", não acredito ser este o erro. Há várias questões do CESPE com "deve" e ainda sim a questão ser considerada verdadeira
  • O erro da questão está em relacionar "vazamento de informações" com "Acordos de não divulgação".

    O trecho da norma que trata sobre vazamento de informações, está na seção 12 da referida norma e fala sobre os chamados "covert channel":

    "12.5.4 Vazamento de informações
    Controle
    Convém que oportunidades para vazamento de informações sejam prevenidas.
    Diretrizes para implementação
    Convém que os seguintes itens sejam considerados, para limitar o risco de vazamento de informações, por
    exemplo através do uso e exploração de covert channels: ..."

    Já o trecho que fala sobre "Acordos de não divulgação" está na seção 6 da norma:

    "6.1.5
    Acordos de confidencialidade
    Controle
    Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades
    da organização para a proteção da informação sejam identificados e analisados criticamente, de forma regular."


  • esqueçam esse negócio de "deve" ou "convém". O cespe não tá nem aí pra isso, mistura tudo a qualquer hora

  • Galera, percebo que o CESPE deixou de cobrar os verbos CONVÉM para 27002 e DEVE para 27001a partir de final de 2012 pra cá. Logo como a questão é de 2011 eu acredito que o único erro dela seja o verbo DEVE, pois se trata de uma questão da ISO 27002.

  • Pessoal, não achem que vão "matar" um conteúdo complexo desses com macetes de "DEVE" ou "CONVÉM". Seria muita inocência da banca, basear suas questões apenas nesses termos. Isso não existe, pessoal.

  • Gabarito Errado

    Devem ser revisados periódicamente.

     

    Vamos na fé !

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !