Questões de Concurso
Sobre iso-iec 15408 em segurança da informação
Foram encontradas 24 questões
Em relação ao tema, analise as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.
( ) A ISO/IEC 27005 é uma norma que fornece diretrizes para o processo de gestão de riscos em segurança da informação, incluindo a identificação, análise e tratamento de riscos.
( ) A ISO/IEC 15408, também conhecida como Critérios Comuns (Common Criteria), é uma norma que estabelece um framework para a avaliação da segurança de produtos de software, mas não inclui hardware em seu escopo.
( ) Ambas as normas, ISO/IEC 27005 e ISO/IEC 15408, fornecem critérios específicos para a certificação de produtos e serviços em segurança da informação.
As afirmativas são, respectivamente,
Em um perímetro de segurança física, as portas corta-fogo devem ser providas de alarme e monitoramentos e devem ser testadas em conjunto com as paredes, a fim de se estabelecer o nível de resistência exigido.
O controle de acesso a código-fonte de programas deve ser vedado à maioria dos times de tecnologia, exceto ao time de suporte, que deve ter acesso irrestrito às bibliotecas de programa-fonte.
Uma política de gerenciamento de chaves deve estabelecer a forma apropriada de lidar com chaves comprometidas: deve-se manter registro e auditoria das atividades que tenham relação com o gerenciamento de chaves e não se deve jamais destruir chaves comprometidas, as quais devem ser somente arquivadas.
No gerenciamento de informações, deve ser evitado o uso de mensagens de correio eletrônico de terceiros para o fornecimento de informações temporárias de autenticação secreta de usuários.
Os direitos concedidos a usuários com acessos privilegiados são restritos e controlados, sendo necessário ter requisitos para expirar esse tipo de acesso.
I. desconsiderar as mudanças nos requisitos do negócio e suas prioridades. II. considerar novas ameaças e vulnerabilidades aos ativos. III. priorizar a avaliação dos novos controles sobre os controles já implementados. IV. realizar análises críticas periódicas.
É correto o que consta APENAS em
Donos de informação podem requisitar que a disponibilidade, disseminação e modificação de qualquer informação seja estritamente controlada e que os ativos sejam protegidos de ameaças por meio de contramedidas.
International Organization for Standardization. ISO/IEC 15408-1: Introduction and general mode, 2009. Tradução livre.
Segundo a ISO/IEC 15408, existem dois elementos principais que devem ser demonstrados para se poder defender a escolha de contramedidas. Esses elementos determinam que as contramedidas devem ser
A Common Criteria estabelece que um produto de software implementa determinado conjunto de funcionalidades de segurança, garantindo que este conjunto seja seguro.
A falta de rotina de substituição periódica e a destruição de um equipamento, ocasionada pela inexistência dessa rotina, são consideradas ameaças no gerenciamento de risco e devem ser tratadas, após a identificação dos equipamentos de hardware possivelmente afetados, por meio da utilização de ações descritas na NBR ISO/IEC n.º 15.408.
O principal objetivo da norma ISO/IEC 15.408 é especificar os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
O PP (protection profile) compõe os requisitos de auditoria para a avaliação do sistema.
O TSF (TOE (target of evaluation) security functions) representa as funções de segurança de um TOE que serão avaliadas.
( ) A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.
( ) A elaboração de uma política de segurança da informação deve ser o primeiro passo de uma organização que deseja proteger seus ativos e estar livre de perigos e incertezas.
( ) Autenticidade refere-se a propriedade de salvaguarda da exatidão e completeza da informação.
( ) A norma ISO/IEC 15408 (Common Criteria) é a versão brasileira da bS 7799 (British standard) e especifca os requisitos para implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.
Assinale a opção com a sequência CORRETA.