Com base na ABNT NBR ISO/IEC 27002:2022, julgue o item a seg...

Próximas questões
Com base no mesmo assunto
Q2275396 Segurança da Informação
Com base na ABNT NBR ISO/IEC 27002:2022, julgue o item a seguir.

Uma política de gerenciamento de chaves deve estabelecer a forma apropriada de lidar com chaves comprometidas: deve-se manter registro e auditoria das atividades que tenham relação com o gerenciamento de chaves e não se deve jamais destruir chaves comprometidas, as quais devem ser somente arquivadas. 

Alternativas

Comentários

Veja os comentários dos nossos alunos

Gab: Errado.

De acordo com as práticas recomendadas na ABNT NBR ISO/IEC 27002:2022, a gestão de chaves é um aspecto crítico da segurança da informação.

Vou separar em três partes:

Parte 01 - É verdade que uma política de gerenciamento de chaves deve estabelecer procedimentos para lidar com chaves comprometidas. A ideia principal é proteger o ambiente de possíveis danos decorrentes de chaves que possam ter sido comprometidas.

Parte 02 - Em relação à afirmação: "o registro e a auditoria das atividades relacionadas ao gerenciamento de chaves", está alinhada com as boas práticas de segurança, permitindo rastrear atividades e identificar potenciais problemas ou violações.

Parte 03 - "a declaração sobre JAMAIS destruir chaves comprometidas e apenas arquivá-las" .

Em alguns casos, a destruição de chaves comprometidas pode ser recomendada como uma medida de segurança adicional para evitar seu uso malicioso. O arquivamento das chaves comprometidas pode ser uma prática útil para referência futura e fins de investigação, contudo, manter essas chaves ativas no ambiente pode representar um risco.

1. A ideia principal é proteger o ambiente de possíveis danos decorrentes de chaves que possam ter sido comprometidas.

2. Em alguns casos, a destruição de chaves comprometidas pode ser recomendada como uma medida de segurança adicional para evitar seu uso malicioso. O arquivamento das chaves comprometidas pode ser uma prática útil para referência futura e fins de investigação, contudo, manter essas chaves ativas no ambiente pode representar um risco.

ERRADO!

Uma política de gerenciamento de chaves deve estabelecer a forma apropriada de lidar com chaves comprometidas: deve-se manter registro e auditoria das atividades que tenham relação com o gerenciamento de chaves e não se deve jamais destruir chaves comprometidas, as quais devem ser somente arquivadas. 

De acordo com a ISO 27002

10.1.2 Gerenciamento de chaves

Controle: Convém que uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas, seja desenvolvida e implementada ao longo de todo o seu ciclo de vida.

Diretrizes para implementação

Convém que a política inclua requisitos para o gerenciamento de chaves criptográficas ao longo de todo o seu ciclo de vida incluindo, a geração, armazenagem, arquivo, recuperação, distribuição, retirada e destruição das chaves. 

Colegas, alguém pode me informar onde posso baixar ou adquirir o material completo: ABNT NBR ISO/IEC 27002:2022 ?

Desde já, agradeço quem poder me informar.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo