Questões da Prova CESPE - 2009 - INMETRO - Analista Executivo em Metrologia e Qualidade - Desenvolvimento de Sistemas - Parte II

O arcabouço de organização dos requisitos da norma NBR ISO/IEC 27001 deriva da família de normas ISO 9000, especialmente no que se refere à gestão de documentação.

Na norma ISO/IEC 15408, os termos: alvo de avaliação (TOE - target of evaluation); perfil de proteção (PP - protection profile); alvo de segurança (ST - security target) e requisitos funcionais de segurança (SFR - security funcional requirements) podem ser respectivamente descritos como: um conjunto de software, firmware e(ou) hardware; uma classe de dispositivos; uma declaração de necessidades de segurança; um objeto a ser avaliado.

A norma NBR ISO/IEC 27001 difere da NBR ISO/IEC 17799 quanto ao estabelecimento de requisitos para certificação, o qual ocorre na primeira, e quanto a um detalhamento de código de prática, o qual ocorre na segunda. Por outro lado, o emprego do ciclo PDCA (Plan-Do-Check-Act) para a melhoria contínua de um sistema de gestão de segurança é descrito em ambas.

Em um conjunto de práticas de segurança física estabelecidas pela NBR ISO/IEC 17799 destaca-se: o uso de perímetros de segurança; a proteção contra ameaças do meio ambiente; a segurança do cabeamento de energia e telecomunicações; a manutenção de equipamentos e a autorização prévia quando da retirada de equipamentos, informações e software do sítio gerenciado.

Acerca de parâmetros para criação de políticas de gerenciamento de senhas considera-se que: para sítios com baixa necessidade de segurança, é indicado que um usuário empregue uma senha comum a todos os sítios; a exigência de que usuários nunca escrevam a senha em um papel, pois esta atitude pode tornar difícil a gerência de senhas, havendo outras formas de garantir segurança que permitam o registro de senhas escritas; o aumento da frequência de troca de senhas, o que tende a diminuir a força das senhas empregadas.