Acerca da classificação e controle de ativos de informação, ...

A alternativa correta é a B.

B: "As instalações de processamento da informação gerenciadas pela organização devem localizar-se fisicamente separadas daquelas que são gerenciadas por terceiros." Esta alternativa está correta porque é uma prática comum e recomendada separar fisicamente as instalações de processamento da informação gerenciadas pela organização daquelas gerenciadas por terceiros. Isso aumenta a segurança ao reduzir a probabilidade de acesso não autorizado e de interferência por parte de terceiros.

Agora, vamos analisar por que as outras alternativas estão incorretas:

A: "Paredes, portões de entrada controlados por cartão e balcões de recepção com recepcionista são os objetos que devem ser utilizados para delimitar um perímetro de segurança física." Embora esses elementos contribuam para a segurança física, eles sozinhos não são suficientes para garantir um perímetro de segurança completo. Faltariam medidas adicionais, como câmeras de segurança, alarmes, sistemas de monitoramento, entre outros.

C: "Qualquer esquema de classificação da informação aborda riscos de segurança da informação." Nem todo esquema de classificação aborda todos os riscos de segurança da informação. Esquemas de classificação são voltados para categorizar a informação segundo a sua sensibilidade e importância, mas não necessariamente cobrem todos os aspectos dos riscos de segurança.

D: "Esquemas de rotulagem e tratamento da informação se aplicam aos ativos de informação em formato físico, ao passo que apenas o controle de acessos se aplica aos ativos de informação em formato lógico." Esta afirmação está incorreta porque os esquemas de rotulagem e tratamento da informação devem ser aplicados tanto a formatos físicos quanto lógicos. A segurança da informação abrange todas as formas de dados e ativos.

E: "Todo equipamento que contenha mídia de armazenamento de informação deve ser destruído para garantir que as informações sensíveis nele armazenadas sejam inacessíveis após seu descarte ou envio para conserto." Destruir todo equipamento pode ser uma medida extrema e não necessariamente recomendada. Existem métodos de sanitização de dados que são eficazes e permitem o reuso ou descarte seguro dos equipamentos sem precisar destruí-los.

Para resolver questões como esta, é importante ter um entendimento claro sobre as melhores práticas de segurança da informação, que incluem tanto a segurança física quanto a lógica, além de conhecer as recomendações e normas aplicáveis ao tratamento e à classificação dos dados.

a) Paredes, portões de entrada controlados por cartão e balcões de recepção com recepcionista são os objetos que devem ser utilizados para delimitar um perímetro de segurança física.

9.1.1 Perímetro de segurança física
Controle - Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação

Fonte: ABNT NBR ISO/IEC 27002:2005
 

b) As instalações de processamento da informação gerenciadas pela organização devem localizar-se fisicamente separadas daquelas que são gerenciadas por terceiros.

9.1.1 Perímetro de segurança física
g) as instalações de processamento da informação gerenciadas pela organização devem ficar fisicamente separadas daquelas que são gerenciadas por terceiros.
Fonte: ABNT NBR ISO/IEC 27002:2005