Com base na ABNT NBR ISO/IEC 27002:2022, julgue o item a seg...
Uma política de gerenciamento de chaves deve estabelecer a forma apropriada de lidar com chaves comprometidas: deve-se manter registro e auditoria das atividades que tenham relação com o gerenciamento de chaves e não se deve jamais destruir chaves comprometidas, as quais devem ser somente arquivadas.
Gab: Errado.
De acordo com as práticas recomendadas na ABNT NBR ISO/IEC 27002:2022, a gestão de chaves é um aspecto crítico da segurança da informação.
Vou separar em três partes:
Parte 01 - É verdade que uma política de gerenciamento de chaves deve estabelecer procedimentos para lidar com chaves comprometidas. A ideia principal é proteger o ambiente de possíveis danos decorrentes de chaves que possam ter sido comprometidas.
Parte 02 - Em relação à afirmação: "o registro e a auditoria das atividades relacionadas ao gerenciamento de chaves", está alinhada com as boas práticas de segurança, permitindo rastrear atividades e identificar potenciais problemas ou violações.
Parte 03 - "a declaração sobre JAMAIS destruir chaves comprometidas e apenas arquivá-las" .
Em alguns casos, a destruição de chaves comprometidas pode ser recomendada como uma medida de segurança adicional para evitar seu uso malicioso. O arquivamento das chaves comprometidas pode ser uma prática útil para referência futura e fins de investigação, contudo, manter essas chaves ativas no ambiente pode representar um risco.
1. A ideia principal é proteger o ambiente de possíveis danos decorrentes de chaves que possam ter sido comprometidas.
2. Em alguns casos, a destruição de chaves comprometidas pode ser recomendada como uma medida de segurança adicional para evitar seu uso malicioso. O arquivamento das chaves comprometidas pode ser uma prática útil para referência futura e fins de investigação, contudo, manter essas chaves ativas no ambiente pode representar um risco.
ERRADO!
Uma política de gerenciamento de chaves deve estabelecer a forma apropriada de lidar com chaves comprometidas: deve-se manter registro e auditoria das atividades que tenham relação com o gerenciamento de chaves e não se deve jamais destruir chaves comprometidas, as quais devem ser somente arquivadas.
De acordo com a ISO 27002
10.1.2 Gerenciamento de chaves
Controle: Convém que uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas, seja desenvolvida e implementada ao longo de todo o seu ciclo de vida.
Diretrizes para implementação
Convém que a política inclua requisitos para o gerenciamento de chaves criptográficas ao longo de todo o seu ciclo de vida incluindo, a geração, armazenagem, arquivo, recuperação, distribuição, retirada e destruição das chaves.