Questão número 290741

O acesso aos sistemas de informação deve ser controlado com base nos requisitos de segurança e de negócio, levando-se em conta as políticas para disseminação e autorização da informação. Em relação a controle de acesso, é correto afirmar que

• A. não há necessidade, para o controle de acesso, de se ter conhecimento a respeito dos princípios e níveis de segurança e classificação da informação na organização.
• B. o gerenciamento de acessos físicos deve compreender o registro de usuários, gerenciamento de privilégios, gerenciamento das senhas de usuários e revisão dos direitos de acesso dos usuários – preocupações que não se aplicam aos acessos lógicos.
• C. fazem parte do controle de acesso ao sistema operacional, preocupações tais como restrição de acesso a aplicações e isolamento de sistemas sensíveis.
• D. na especificação das regras para controle de acesso, não se deve utilizar a premissa: "tudo deve ser permitido, a menos que expressamente proibido".
• E. o controle, na auditoria, consiste em fiscalizar as atividades, com relação às normas pré-estabelecidas. Com isso, a identificação e autenticação de usuários formam um exemplo de controle de detecção.