A NBR ISO/IEC 27001 foi preparada para prover requisitos qu...
A NBR ISO/IEC 27001 foi preparada para prover requisitos que estabeleçam um sistema de gestão de segurança da informação (SGSI), ao passo que a ISO/IEC 27002 foi projetada para organizações que usem a norma como uma referência para selecionar controles no processo de implementação do SGSI.
Em relação a essas normas, assinale a opção correta.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa Correta: D
A alternativa correta é a D, pois aborda corretamente como as normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002 tratam de auditorias internas e a verificação dos sistemas operacionais, respectivamente.
A norma NBR ISO/IEC 27001 é focada no estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI) e inclui a necessidade de auditorias internas para garantir que a organização esteja em conformidade com os requisitos da norma. Estas auditorias devem ser planejadas e conduzidas pela própria organização.
Já a NBR ISO/IEC 27002 oferece diretrizes para a implementação de controles de segurança e inclui detalhes sobre as atividades e requisitos de auditoria que envolvem a verificação dos sistemas operacionais. O objetivo dessas auditorias é minimizar interrupções nos processos de negócio.
Justificativas das Alternativas Incorretas:
A: A afirmação de que a informação sobre logs deve ser acessível a todos é incorreta. A NBR ISO/IEC 27002 estabelece que o acesso a logs deve ser restrito para proteger a integridade e confidencialidade dos dados. A transparência mencionada na alternativa é inadequada, pois as atividades do administrador de sistemas também precisam ser controladas e monitoradas.
B: A gestão de riscos é abordada tanto na NBR ISO/IEC 27001 quanto na NBR ISO/IEC 27002, mas a afirmação de que o tratamento dos riscos se limita à NBR ISO/IEC 27002 é incorreta. A NBR ISO/IEC 27001 inclui a identificação, análise e tratamento de riscos como parte integrante do SGSI.
C: A NBR ISO/IEC 27001 também aborda controles relacionados a processos terceirizados, inclusive com requisitos claros sobre a gestão de riscos associados a fornecedores e prestadores de serviços. Portanto, a afirmação de que o SGSI não aborda esses controles é errada.
E: A NBR ISO/IEC 27002 realmente inclui controles que dizem respeito à segurança dos sistemas e pode recomendar o uso de criptografia assimétrica. No entanto, a afirmação sobre uma referência de fonte de tempo para isolar sistemas em caso de ataques não está corretamente descrita na norma.
Portanto, a alternativa D é a correta, pois está de acordo com as determinações e abordagens das normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002.
Espero que essa explicação tenha ajudado a esclarecer suas dúvidas. Se precisar de mais alguma coisa, estou à disposição!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Analisando as alternativas:
a) De acordo com a NBR ISO/IEC 27002, a informação sobre logs deve ser acessível a todos, de forma a ofertar a maior transparência possível aos gestores da organização, excluídas as atividades de administrador de sistemas, que não precisam ser controladas sob o princípio da tutela da confidencialidade.
Errada. Os Logs , NA MAIOR PARTE DAS VEZES, possuem informações confidenciais que somente pessoas autorizadas podem verificá-las.
b) Determinar os riscos e as oportunidades que necessitam ser considerados pelo sistema faz parte da NBR ISO/IEC 27001, mas o tratamento dos riscos limita-se à NBR ISO/IEC 27002.
Errada. Riscos é um assunto que não pode ser ignorado e muito menos LIMITADO seja qual tecnologia ou norma que estiver sendo aplicada. Risco é sensível e é tratado com muita cautela em ambas normas.
c) De acordo com a NBR ISO/IEC 27001, o SGSI não aborda controles afetos a processos terceirizados, uma vez que os fornecedores são tratados como parte de controles, logo concernentes à NBR ISO/IEC 27002.
Errada. A norma NBR ISO/IEC 27001 contém uma lista de controles de segurança (ou salvaguardas) para serem utilizadas para melhorar a segurança da informação, inclusive cita também assuntos relacionados aos processos terceirizados.
e) Um dos controles da NBR ISO/IEC 27002 afetos à segurança dos sistemas diz respeito à implantação de criptografia assimétrica nos sistemas relevantes, com fulcro a proteger a informação tendo como base que cada um desses sistemas deve possuir sua própria referência de fonte de tempo para isolá-los em caso de ataques.
Errada
A confidencialidade permeia toda norma 27002, inclusive quando se trata de logs.
O SGSI deve levar em consideração os terceiros, para que os mesmos não violem o que está definido nas políticas da organização.
A norma 27002 define que deve haver uma avaliação para definir qual tipo de criptografia deverá ser usada, não fazendo sugestão de nenhuma.
Gabarito D
Conforme PDCA da ISO 27001:
Act (agir)
Executar as ações corretivas e preventivas, com base nos
resultados da auditoria interna do SGSI e da análise crítica pela
direção ou outra informação pertinente, para alcançar a
melhoria contínua do SGSI.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
ISO 27001 - Requisitos/Especificação do SGSI.
27001 - "Deve" - Sendo assim é uma norma auditável
ISO 27002 - Diretrizes/Boas práticas/Guia.
27002 - "Convém" - Sendo assim não é uma norma auditável
olha o peguinha q eu já cai
2015
De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema de gerenciamento de segurança da informação.
Errada
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo