A NBR ISO/IEC 27001 foi preparada para prover requisitos qu...
A NBR ISO/IEC 27001 foi preparada para prover requisitos que estabeleçam um sistema de gestão de segurança da informação (SGSI), ao passo que a ISO/IEC 27002 foi projetada para organizações que usem a norma como uma referência para selecionar controles no processo de implementação do SGSI.
Em relação a essas normas, assinale a opção correta.
Analisando as alternativas:
a) De acordo com a NBR ISO/IEC 27002, a informação sobre logs deve ser acessível a todos, de forma a ofertar a maior transparência possível aos gestores da organização, excluídas as atividades de administrador de sistemas, que não precisam ser controladas sob o princípio da tutela da confidencialidade.
Errada. Os Logs , NA MAIOR PARTE DAS VEZES, possuem informações confidenciais que somente pessoas autorizadas podem verificá-las.
b) Determinar os riscos e as oportunidades que necessitam ser considerados pelo sistema faz parte da NBR ISO/IEC 27001, mas o tratamento dos riscos limita-se à NBR ISO/IEC 27002.
Errada. Riscos é um assunto que não pode ser ignorado e muito menos LIMITADO seja qual tecnologia ou norma que estiver sendo aplicada. Risco é sensível e é tratado com muita cautela em ambas normas.
c) De acordo com a NBR ISO/IEC 27001, o SGSI não aborda controles afetos a processos terceirizados, uma vez que os fornecedores são tratados como parte de controles, logo concernentes à NBR ISO/IEC 27002.
Errada. A norma NBR ISO/IEC 27001 contém uma lista de controles de segurança (ou salvaguardas) para serem utilizadas para melhorar a segurança da informação, inclusive cita também assuntos relacionados aos processos terceirizados.
e) Um dos controles da NBR ISO/IEC 27002 afetos à segurança dos sistemas diz respeito à implantação de criptografia assimétrica nos sistemas relevantes, com fulcro a proteger a informação tendo como base que cada um desses sistemas deve possuir sua própria referência de fonte de tempo para isolá-los em caso de ataques.
Errada
A confidencialidade permeia toda norma 27002, inclusive quando se trata de logs.
O SGSI deve levar em consideração os terceiros, para que os mesmos não violem o que está definido nas políticas da organização.
A norma 27002 define que deve haver uma avaliação para definir qual tipo de criptografia deverá ser usada, não fazendo sugestão de nenhuma.
Gabarito D
Conforme PDCA da ISO 27001:
Act (agir)
Executar as ações corretivas e preventivas, com base nos
resultados da auditoria interna do SGSI e da análise crítica pela
direção ou outra informação pertinente, para alcançar a
melhoria contínua do SGSI.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
ISO 27001 - Requisitos/Especificação do SGSI.
27001 - "Deve" - Sendo assim é uma norma auditável
ISO 27002 - Diretrizes/Boas práticas/Guia.
27002 - "Convém" - Sendo assim não é uma norma auditável
olha o peguinha q eu já cai
2015
De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema de gerenciamento de segurança da informação.
Errada
.: 27001: AUDITORIA INTERNA: A organização deve conduzir auditorias internas planejadas para prover informações sobre o quanto o SGSI está em conformidade com os requisitos e está efetivamente implementado e mantido.
.: 27002: CONTROLE DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO: Convém que as atividades e requisitos de auditoria envolvendo a verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar interrupção dos processos do negócio;
Gabarito D;
.
.
.
At.te
Foco na missão!!!
Em relação a essas normas, assinale a opção correta.
a) De acordo com a NBR ISO/IEC 27002, a informação sobre logs deve ser acessível a todos, ....
Incorreta,
ISO 27002 .
12.4.2 Proteção das informações dos registros de eventos (logs).
Convém que as informações dos registros de eventos (log) e seus recursos sejam protegidas contra acesso não autorizado e adulteração.
.
b) Determinar os riscos e as oportunidades que necessitam ser considerados pelo sistema faz parte da NBR ISO/IEC 27001, mas o tratamento dos riscos limita-se à NBR ISO/IEC 27002.
Incorreta, tratamento dos riscos NÃO SE LIMITA À ISO 27002, visto que temos a ISO 27005
.
c) De acordo com a NBR ISO/IEC 27001, o SGSI não aborda controles afetos a processos terceirizados, ...
Incorreta, não faria sentido permitir processos terceirizados e não controlá-los não é mesmo.
ISO 27001
8 Operação
8.1 Planejamento operacional e controle
A organização deve assegurar que os processos terceirizados estão determinados e são controlados
.
d) A NBR ISO/IEC 27001 trata de auditoria interna no SGSI, com intervalos planejados conduzidos pela organização; já a NBR ISO/IEC 27002 trata de atividades e requisitos de auditoria que envolvem a verificação dos sistemas operacionais, com o objetivo de minimizar interrupções nos processos de negócio.
Correta, GABARITO DA QUESTÃO, conforme explicado pelos colegas abaixo.
.
e) Um dos controles da NBR ISO/IEC 27002 afetos à segurança dos sistemas diz respeito à implantação de criptografia assimétrica nos sistemas relevantes, com fulcro a proteger a informação tendo como base que cada um desses sistemas deve possuir sua própria referência de fonte de tempo para isolá-los em caso de ataques.
Incorreta, aqui estamos falando da exatidão e sincronização de tempo.
ISO 27002
12.4.4 Sincronização dos relógios
Convém que os relógios de todos os sistemas de processamento de informações relevantes, dentro da organização ou do domínio de segurança, sejam sincronizados com uma única fonte de tempo precisa
Se a alternativa D) fosse uma daquelas questões de verdadeiro ou falso, eu deixaria em branco. Mas como é múltipla escolha, da pra ir por eliminação