A NBR ISO/IEC 27001 foi preparada para prover requisitos qu...
A NBR ISO/IEC 27001 foi preparada para prover requisitos que estabeleçam um sistema de gestão de segurança da informação (SGSI), ao passo que a ISO/IEC 27002 foi projetada para organizações que usem a norma como uma referência para selecionar controles no processo de implementação do SGSI.
Em relação a essas normas, assinale a opção correta.
Analisando as alternativas:
a) De acordo com a NBR ISO/IEC 27002, a informação sobre logs deve ser acessível a todos, de forma a ofertar a maior transparência possível aos gestores da organização, excluídas as atividades de administrador de sistemas, que não precisam ser controladas sob o princípio da tutela da confidencialidade.
Errada. Os Logs , NA MAIOR PARTE DAS VEZES, possuem informações confidenciais que somente pessoas autorizadas podem verificá-las.
b) Determinar os riscos e as oportunidades que necessitam ser considerados pelo sistema faz parte da NBR ISO/IEC 27001, mas o tratamento dos riscos limita-se à NBR ISO/IEC 27002.
Errada. Riscos é um assunto que não pode ser ignorado e muito menos LIMITADO seja qual tecnologia ou norma que estiver sendo aplicada. Risco é sensível e é tratado com muita cautela em ambas normas.
c) De acordo com a NBR ISO/IEC 27001, o SGSI não aborda controles afetos a processos terceirizados, uma vez que os fornecedores são tratados como parte de controles, logo concernentes à NBR ISO/IEC 27002.
Errada. A norma NBR ISO/IEC 27001 contém uma lista de controles de segurança (ou salvaguardas) para serem utilizadas para melhorar a segurança da informação, inclusive cita também assuntos relacionados aos processos terceirizados.
e) Um dos controles da NBR ISO/IEC 27002 afetos à segurança dos sistemas diz respeito à implantação de criptografia assimétrica nos sistemas relevantes, com fulcro a proteger a informação tendo como base que cada um desses sistemas deve possuir sua própria referência de fonte de tempo para isolá-los em caso de ataques.
Errada
A confidencialidade permeia toda norma 27002, inclusive quando se trata de logs.
O SGSI deve levar em consideração os terceiros, para que os mesmos não violem o que está definido nas políticas da organização.
A norma 27002 define que deve haver uma avaliação para definir qual tipo de criptografia deverá ser usada, não fazendo sugestão de nenhuma.
Gabarito D
Conforme PDCA da ISO 27001:
Act (agir)
Executar as ações corretivas e preventivas, com base nos
resultados da auditoria interna do SGSI e da análise crítica pela
direção ou outra informação pertinente, para alcançar a
melhoria contínua do SGSI.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
ISO 27001 - Requisitos/Especificação do SGSI.
27001 - "Deve" - Sendo assim é uma norma auditável
ISO 27002 - Diretrizes/Boas práticas/Guia.
27002 - "Convém" - Sendo assim não é uma norma auditável
olha o peguinha q eu já cai
2015
De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema de gerenciamento de segurança da informação.
Errada
.: 27001: AUDITORIA INTERNA: A organização deve conduzir auditorias internas planejadas para prover informações sobre o quanto o SGSI está em conformidade com os requisitos e está efetivamente implementado e mantido.
.: 27002: CONTROLE DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO: Convém que as atividades e requisitos de auditoria envolvendo a verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar interrupção dos processos do negócio;
Gabarito D;
.
.
.
At.te
Foco na missão!!!
Em relação a essas normas, assinale a opção correta.
a) De acordo com a NBR ISO/IEC 27002, a informação sobre logs deve ser acessível a todos, ....
Incorreta,
ISO 27002 .
12.4.2 Proteção das informações dos registros de eventos (logs).
Convém que as informações dos registros de eventos (log) e seus recursos sejam protegidas contra acesso não autorizado e adulteração.
.
b) Determinar os riscos e as oportunidades que necessitam ser considerados pelo sistema faz parte da NBR ISO/IEC 27001, mas o tratamento dos riscos limita-se à NBR ISO/IEC 27002.
Incorreta, tratamento dos riscos NÃO SE LIMITA À ISO 27002, visto que temos a ISO 27005
.
c) De acordo com a NBR ISO/IEC 27001, o SGSI não aborda controles afetos a processos terceirizados, ...
Incorreta, não faria sentido permitir processos terceirizados e não controlá-los não é mesmo.
ISO 27001
8 Operação
8.1 Planejamento operacional e controle
A organização deve assegurar que os processos terceirizados estão determinados e são controlados
.
d) A NBR ISO/IEC 27001 trata de auditoria interna no SGSI, com intervalos planejados conduzidos pela organização; já a NBR ISO/IEC 27002 trata de atividades e requisitos de auditoria que envolvem a verificação dos sistemas operacionais, com o objetivo de minimizar interrupções nos processos de negócio.
Correta, GABARITO DA QUESTÃO, conforme explicado pelos colegas abaixo.
.
e) Um dos controles da NBR ISO/IEC 27002 afetos à segurança dos sistemas diz respeito à implantação de criptografia assimétrica nos sistemas relevantes, com fulcro a proteger a informação tendo como base que cada um desses sistemas deve possuir sua própria referência de fonte de tempo para isolá-los em caso de ataques.
Incorreta, aqui estamos falando da exatidão e sincronização de tempo.
ISO 27002
12.4.4 Sincronização dos relógios
Convém que os relógios de todos os sistemas de processamento de informações relevantes, dentro da organização ou do domínio de segurança, sejam sincronizados com uma única fonte de tempo precisa
Se a alternativa D) fosse uma daquelas questões de verdadeiro ou falso, eu deixaria em branco. Mas como é múltipla escolha, da pra ir por eliminação
Alternativa Correta: D
A alternativa correta é a D, pois aborda corretamente como as normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002 tratam de auditorias internas e a verificação dos sistemas operacionais, respectivamente.
A norma NBR ISO/IEC 27001 é focada no estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI) e inclui a necessidade de auditorias internas para garantir que a organização esteja em conformidade com os requisitos da norma. Estas auditorias devem ser planejadas e conduzidas pela própria organização.
Já a NBR ISO/IEC 27002 oferece diretrizes para a implementação de controles de segurança e inclui detalhes sobre as atividades e requisitos de auditoria que envolvem a verificação dos sistemas operacionais. O objetivo dessas auditorias é minimizar interrupções nos processos de negócio.
Justificativas das Alternativas Incorretas:
A: A afirmação de que a informação sobre logs deve ser acessível a todos é incorreta. A NBR ISO/IEC 27002 estabelece que o acesso a logs deve ser restrito para proteger a integridade e confidencialidade dos dados. A transparência mencionada na alternativa é inadequada, pois as atividades do administrador de sistemas também precisam ser controladas e monitoradas.
B: A gestão de riscos é abordada tanto na NBR ISO/IEC 27001 quanto na NBR ISO/IEC 27002, mas a afirmação de que o tratamento dos riscos se limita à NBR ISO/IEC 27002 é incorreta. A NBR ISO/IEC 27001 inclui a identificação, análise e tratamento de riscos como parte integrante do SGSI.
C: A NBR ISO/IEC 27001 também aborda controles relacionados a processos terceirizados, inclusive com requisitos claros sobre a gestão de riscos associados a fornecedores e prestadores de serviços. Portanto, a afirmação de que o SGSI não aborda esses controles é errada.
E: A NBR ISO/IEC 27002 realmente inclui controles que dizem respeito à segurança dos sistemas e pode recomendar o uso de criptografia assimétrica. No entanto, a afirmação sobre uma referência de fonte de tempo para isolar sistemas em caso de ataques não está corretamente descrita na norma.
Portanto, a alternativa D é a correta, pois está de acordo com as determinações e abordagens das normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002.
Espero que essa explicação tenha ajudado a esclarecer suas dúvidas. Se precisar de mais alguma coisa, estou à disposição!