Questões de ISO-IEC 15408 (Segurança da Informação)

Limpar Busca

No contexto da gestão de riscos em segurança da informação e avaliação de segurança de produtos de TI, a ISO/IEC 27005 e a ISO/IEC 15408 são normas internacionalmente reconhecidas.

Em relação ao tema, analise as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.

( ) A ISO/IEC 27005 é uma norma que fornece diretrizes para o processo de gestão de riscos em segurança da informação, incluindo a identificação, análise e tratamento de riscos.
( ) A ISO/IEC 15408, também conhecida como Critérios Comuns (Common Criteria), é uma norma que estabelece um framework para a avaliação da segurança de produtos de software, mas não inclui hardware em seu escopo.
( ) Ambas as normas, ISO/IEC 27005 e ISO/IEC 15408, fornecem critérios específicos para a certificação de produtos e serviços em segurança da informação.

As afirmativas são, respectivamente,

  • A V – F – F.
  • B V – V – F.
  • C F – V – F.
  • D F – V – V.
  • E F – F – V.

A norma NBR ISO/IEC 27005:2019 fornece diretrizes para a gestão de riscos de segurança da informação em uma organização. De acordo com esta norma, é conveniente que

  • A o nível de risco seja determinado para todos os cenários de incidentes relevantes.
  • B seja dada atenção unicamente a incidentes que causem consequências de natureza permanente.
  • C o valor do impacto ao negócio seja sempre expresso de forma quantitativa.
  • D controles para modificar, reter ou compartilhar os riscos sejam prontamente evitados.
  • E sejam identificados somente os riscos cujas fontes estejam sob controle da organização.

Assinale a alternativa que apresenta a definição correta da NBR ISO/IEC 15408, também conhecida como Common Criteria.

  • A É um conjunto de diretrizes para o desenvolvimento de sistemas operacionais de código aberto.
  • B É uma norma internacional que estabelece diretrizes para a gestão de qualidade em produtos de software.
  • C É uma especificação que define os requisitos de segurança e as avaliações de produtos e sistemas de tecnologia da informação.
  • D É um padrão de criptografia amplamente utilizado para a proteção de redes sem fio.
  • E É uma norma que define, especificamente, os requisitos para a certificação de sistemas de gestão de segurança da informação.

Segundo a norma ABNT NBR/ISO 27002:2013, a segurança da informação é alcançada com a implementação de um conjunto adequado de controles. Assinale a alternativa que NÃO apresenta um desses controles.

  • A Processos.
  • B Estrutura organizacional.
  • C Políticas.
  • D Funções de hardware e software.
  • E Estratégias de negócio.

Donos de informação podem requisitar que a disponibilidade, disseminação e modificação de qualquer informação seja estritamente controlada e que os ativos sejam protegidos de ameaças por meio de contramedidas.

International Organization for Standardization. ISO/IEC 15408-1: Introduction and general mode, 2009. Tradução livre.

Segundo a ISO/IEC 15408, existem dois elementos principais que devem ser demonstrados para se poder defender a escolha de contramedidas. Esses elementos determinam que as contramedidas devem ser

  • A corretas, ou seja, capazes de fazer o que afirmam, e suficientes, ou seja, caso corretas, devem neutralizar as ameaças.
  • B corretas, ou seja, capazes de fazer o que afirmam, e imprevisíveis, ou seja, devem ser difíceis de prever.
  • C imprevisíveis, ou seja, devem ser difíceis de se prever, e suficientes, ou seja, caso corretas devem neutralizar as ameaças.
  • D complexas, ou seja, difíceis de se compreender, e suficientes, ou seja, caso corretas devem neutralizar as ameaças.
  • E imprevisíveis, ou seja, devem ser difíceis de se prever, e complexas, ou seja, difíceis de se compreender.