Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julg...
Nas referidas normas, é prevista a implementação de controles contra códigos maliciosos, mas ainda não há previsão acerca de controle contra códigos móveis.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: E - errado
A questão refere-se às normas ABNT NBR ISO/IEC 27001 e 27002, especificamente sobre a implementação de controles relacionados a códigos maliciosos e códigos móveis.
Para resolver esta questão, é essencial entender que tanto a ISO/IEC 27001 quanto a ISO/IEC 27002 fazem parte do conjunto de normas internacionais que abordam a gestão de segurança da informação.
ISO/IEC 27001 é voltada para o sistema de gestão de segurança da informação (SGSI), fornecendo requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI. Já a ISO/IEC 27002 fornece um código de práticas para controles de segurança da informação.
A partir disso, vamos à análise da afirmação da questão:
A afirmativa sugere que as normas "preveem a implementação de controles contra códigos maliciosos, mas ainda não há previsão acerca de controle contra códigos móveis".
Esta afirmativa está errada pelos seguintes motivos:
-
A ISO/IEC 27002 inclui sim controles para proteção contra códigos maliciosos e contra códigos móveis.
-
O controle contra códigos maliciosos é tratado na norma, que aborda medidas como a instalação de software antivírus, restrições de execução de códigos, entre outras práticas.
-
Além disso, a norma também contempla a proteção contra códigos móveis, que incluem procedimentos e controles para gerenciar e mitigar riscos associados ao uso de dispositivos e aplicações móveis. Isso compreende o uso de sandboxes, permissões controladas e monitoramento contínuo.
Portanto, a resposta correta é "E - errado" porque as normas da ISO/IEC 27002, de fato, preveem e incluem controles contra ambos: códigos maliciosos e códigos móveis.
Espero que essa explicação tenha ajudado a esclarecer o tema! Se tiver mais dúvidas sobre a ISO 27001 e 27002 ou outros assuntos de Segurança da Informação, estarei à disposição para ajudar.
```Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Trecho da 27002:
Fonte: (http://www-di.inf.puc-rio.br/~endler/semGSD/monografias/leonardo-godinho.pdf)
Código móvel é definido, no Dicionário de Segurança de Internet, como um programa que podem executar em locais remotos com qualquer modificação no código. [Ele] pode viajar e executar a partir de uma máquina para outra em uma rede durante a sua vida.
Código móvel inclui ActiveX, Java, JavaScript, VBScript, macros do MS Word ePostScript. Esses códigos podem ser usados ??para coletar informações a partir de um sistema de destino, para introduzir código malicioso ou um cavalo de Tróia, ou para modificar ou destruir informações. Macros são normalmente encontrados em documentos; JavaScript roda em websites e discos mais pop-ups e uma série de outras características mais importantes; ActiveX permite a um PC para fazer o download crítica plug-ins mais sua carga secreta.
Fonte: Livro de Alan Calder em IT Gov
2°) Onde?
A.10 Gerenciamento das operações e comunicações
A.10.4 Proteção contra códigos maliciosos e códigos móveis
A.10.4.2 Controles contra códigos móveis
Adicionalmente, transcrevo trecho da seçao A.10.4 (Proteção contra códigos maliciosos e códigos móveis) da 27001:
A.10.4.2 Controles contra códigos móveis:
Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.
Não podemos confundir código móvel com algo relacionado a dispositivos móveis.
Um código móvel é um código que é executado remotamente e pode controlar o seu equipamento (ou apenas uma parte), transformando-o em uma máquina zumbi que faz parte de um ataque DDoS a um determinado domínio, por exemplo.
Gabarito Errado
ISO 27001
A.10.4.2 Controles contra códigos móveis:
Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo