Considerando as normas que regulam a segurança da informação...

Olá, aluno! Vamos entender a questão e como respondê-la corretamente.

A alternativa correta é C - certo. Vamos explicar o motivo e entender o que a questão aborda.

ISO/IEC 27005 é uma norma que fornece diretrizes para o processo de gerenciamento de riscos em um Sistema de Gestão de Segurança da Informação (SGSI). Esse gerenciamento de riscos é crucial para identificar, avaliar e tratar riscos que possam comprometer a segurança da informação.

A questão menciona que, de acordo com a ISO/IEC 27005, os responsáveis pela estimativa de riscos devem entregar uma lista de riscos, incluindo níveis de valores baseados em cenários de incidentes e suas consequências para os ativos e o negócio. Isso está correto e é um procedimento normal dentro do ciclo de gestão de riscos.

Vamos detalhar por que essa afirmação está correta:

- A ISO/IEC 27005 orienta que a estimativa de riscos deve incluir uma avaliação detalhada dos cenários de incidentes que podem ocorrer.

- Esses cenários devem considerar as consequências potenciais dos incidentes para os ativos e o negócio.

- A lista de riscos deve ser classificada com níveis de valores, que ajudam a priorizar as ações de mitigação com base na gravidade do impacto.

Agora, sobre as alternativas incorretas:

- Se a alternativa fosse errado, ela estaria contradizendo a diretriz fundamental da ISO/IEC 27005, que de fato exige essa prática de estimativa e classificação de riscos.

- Portanto, a alternativa E - errado estaria incorreta, pois a afirmação da questão está de acordo com as normas da ISO/IEC 27005.

Entender esses detalhes é crucial para resolver questões relacionadas à Segurança da Informação e ao gerenciamento de riscos. Assim, você estará mais preparado para identificar práticas corretas e incorretas em um ambiente de SGSI.

Espero ter ajudado a esclarecer o tema. Se tiver mais dúvidas, estou à disposição para ajudar!

A organização deve definir e aplicar um processo de avaliação de riscos de Sistema de Informação que:

• estabeleça e mantenha os critérios de aceitação do risco e de desempenho das avaliações dos riscos de SI;

• assegure que as contínuas avaliações de riscos de SI produzam resultados comparáveis, válidos e consistentes;

• identifique os riscos de SI e seus responsáveis;

• analise os riscos de SI, avaliando suas consequências potenciais, a probabilidade realística de ocorrência e os níveis de risco;

• avalie os riscos de SI, comparando os resultados da análise dos riscos com os critérios de riscos estabelecidos e priorizando os riscos analisados para o tratamento do risco.

JUSTIFICATIVA CEBRASPE: CERTO. Segundo a NBR ISO/IEC n.º 27005, a etapa de estimativa de riscos é realizada logo após a identificação de riscos, quando já estão levantados e identificados, dentro do escopo acordado, os ativos, as ameaças, as vulnerabilidades e suas consequências para os ativos e negócios.

FONTE: https://arquivos.qconcursos.com/prova/arquivo_gabarito/83437/cespe-cebraspe-2021-pg-df-analista-juridico-analista-de-sistema-desenvolvimento-de-sistema-gabarito.pdf?_ga=2.38811299.1676441036.1634834989-804191472.1621542668&_gac=1.190217433.1636415885.Cj0KCQiAsqOMBhDFARIsAFBTN3fprraZgGJbpWTl4j2E5X2D_hkvsouR-BFLacSnDATQFiS2gsajuTQaAq_tEALw_wcB

Para mim, mero mortal, as ISO's são os assuntos mais chatos no estudos =D

JUSTIFICATIVA: CERTO. Segundo a NBR ISO/IEC n.º 27005, a etapa de estimativa de riscos é realizada logo após a identificação de riscos, quando já estão levantados e identificados, dentro do escopo acordado, os ativos, as ameaças, as vulnerabilidades e suas consequências para os ativos e negócios

Mas nao fala em incidentes