Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julg...

Próximas questões
Com base no mesmo assunto
Q110931 Segurança da Informação
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.

Nas referidas normas, é prevista a implementação de controles contra códigos maliciosos, mas ainda não há previsão acerca de controle contra códigos móveis.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

```html

Gabarito: E - errado

A questão refere-se às normas ABNT NBR ISO/IEC 27001 e 27002, especificamente sobre a implementação de controles relacionados a códigos maliciosos e códigos móveis.

Para resolver esta questão, é essencial entender que tanto a ISO/IEC 27001 quanto a ISO/IEC 27002 fazem parte do conjunto de normas internacionais que abordam a gestão de segurança da informação.

ISO/IEC 27001 é voltada para o sistema de gestão de segurança da informação (SGSI), fornecendo requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI. Já a ISO/IEC 27002 fornece um código de práticas para controles de segurança da informação.

A partir disso, vamos à análise da afirmação da questão:

A afirmativa sugere que as normas "preveem a implementação de controles contra códigos maliciosos, mas ainda não há previsão acerca de controle contra códigos móveis".

Esta afirmativa está errada pelos seguintes motivos:

  • A ISO/IEC 27002 inclui sim controles para proteção contra códigos maliciosos e contra códigos móveis.

  • O controle contra códigos maliciosos é tratado na norma, que aborda medidas como a instalação de software antivírus, restrições de execução de códigos, entre outras práticas.

  • Além disso, a norma também contempla a proteção contra códigos móveis, que incluem procedimentos e controles para gerenciar e mitigar riscos associados ao uso de dispositivos e aplicações móveis. Isso compreende o uso de sandboxes, permissões controladas e monitoramento contínuo.

Portanto, a resposta correta é "E - errado" porque as normas da ISO/IEC 27002, de fato, preveem e incluem controles contra ambos: códigos maliciosos e códigos móveis.

Espero que essa explicação tenha ajudado a esclarecer o tema! Se tiver mais dúvidas sobre a ISO 27001 e 27002 ou outros assuntos de Segurança da Informação, estarei à disposição para ajudar.

```

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Definição de código móvel: http://www.cic.unb.br/~jhcf/MyBooks/ciber/doc-ppt-html/CodigoMovel.html

Trecho da 27002:
10.4.2 Controles contra códigos móveis
Controle
Onde o uso de códigos móveis é autorizado, convém que a configuração garanta que o código móvel
autorizado opere de acordo com uma política de segurança da informação claramente definida e códigos
móveis não autorizados tenham sua execução impedida. 
1°) Código Móvel
“Código móvel” é um código que tem sua  fonte em um sistema remoto
possivelmente “não confiável” porém executado em um sistema local.
Esse conceito de “código móvel” tem recebido diversos nomes: agentes
móveis,  downloadable code, conteúdo executável, cápsulas ativas, código remoto e
outros. Todos lidam com a execução local de código com fonte remota. 
Fonte: (
http://www-di.inf.puc-rio.br/~endler/semGSD/monografias/leonardo-godinho.pdf)

Código móvel é definido, no Dicionário de Segurança de Internet, como um programa que podem executar em locais remotos com qualquer modificação no código. [Ele] pode viajar e executar a partir de uma máquina para outra em uma rede durante a sua vida. 
Código móvel inclui ActiveX, Java, JavaScript, VBScript, macros do MS Word ePostScript. Esses códigos podem ser usados ??para coletar informações a partir de um sistema de destino, para introduzir código malicioso ou um cavalo de Tróia, ou para modificar ou destruir informações. Macros são normalmente encontrados em documentos; JavaScript roda em websites e discos mais pop-ups e uma série de outras características mais importantes; ActiveX permite a um PC para fazer o download crítica plug-ins mais sua carga secreta.
Fonte: Livro de Alan Calder em IT Gov

2°) Onde?

A.10  Gerenciamento das operações e comunicações 

A.10.4   Proteção contra códigos maliciosos e códigos móveis 

 
A.10.4.1 Controle contra códigos maliciosos 

A.10.4.2 Controles contra códigos móveis

Repare q essa questao é uma pegadinha. A referida norma foi lançada em 2006 e não havia tantos dispositivos moveis como ha hje em dia.
Adicionalmente, transcrevo trecho da seçao A.10.4 (Proteção contra códigos maliciosos e códigos móveis) da 27001:

A.10.4.2 Controles contra códigos móveis:
Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.

Não podemos confundir código móvel com algo relacionado a dispositivos móveis.
Um código móvel é um código que é executado remotamente e pode controlar o seu equipamento (ou apenas uma parte), transformando-o em uma máquina zumbi que faz parte de um ataque DDoS a um determinado domínio, por exemplo.

Gabarito Errado

ISO 27001

A.10.4.2 Controles contra códigos móveis:
Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.

 

 

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo