Vous êtes sur la page 1sur 17
Guia de Prepa rao E XIN Fundamentos de Segurana da Informao baseado na norma ISO/IEC
Guia de Prepa rao
E XIN Fundamentos
de Segurana da
Informao
baseado na norma
ISO/IEC 27002
Edio Fevereiro 2013

Copyright  2013 EXIN

All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.

or any other means without written permission by EXIN. Guia de Preparação de Documentos EXIN Fundamentos
Co n t e  d o 1 Viso Geral 4 2 Requisitos do exame

Co n t e  d o

1 Viso Geral

4

2 Requisitos do exame

7

3 Lista de conceitos bsicos

12

4 Literatura

15

1
1

Viso Geral

EXIN Fundamentos de Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

Resumo

Os Guias de Preparao so desenhados para auxiliar provedores de treinamentos a desenvolver cursos e materiais didticos que atendam aos requisitos do EXIN.

O principal objetivo do Guia  identificar os assuntos tratados no exame, os requisitos e especificaes do exame e o pblico-alvo para apoiar o desenvolvimento de novos cursos de alta qualidade.

A segurana da informao  a proteo das informaes de uma grande

variedade de ameaas com o objetivo de assegurar a continuidade do negcio, minimizar o risco do negcio e maximizar o retorno sobre os investimentos e a s oportunidades de negcios. (Definio da norma ISO/IEC 27002)

A segurana das informaes vem ganhando importncia no mundo da Tecnologia

da Informao (TI). A globalizao da economia est gerando uma troca cada vez maior de informaes entre as organizaes (seus funcionrios, clientes e fornecedores) bem como uma exploso no uso de computadores em rede e dispositivos de informtica.

A norma internacional, o Cdigo de Prtica para Segurana da Informao

ISO/IEC 27002:2005,  uma norma amplamente respeitada e consultada e fornece uma estrutura para a organizao e o gerenciamento de um programa de segurana das informaes. A implementao de um programa com base nesta norma ser muito til para o objetivo de uma organizao de atender a muitas das necessidades apresentadas no complexo ambiente operacional da atualidade. Uma compreenso categrica desta norma  importante para o desenvolvimento pessoal de todos os profissionais de segurana das informaes.

Nos mdulos de Segurana da Informao do EXIN, utiliza-se a seguinte definio:

A Segurana da Informao lida com a definio, a implementao, a manuteno,

a conformidade e a avaliao de um conjunto coerente de controles (medidas) que

garantam a disponibilidade, a integridade e a confidencialidade da fonte de informaes (manual e automtica).

No mdulo Fundamentos de Segurana da Informao do EXIN baseado na norma ISO/IEC 27002 so testados os conceitos bsicos de segurana da informao e suas relaes. Um dos objetivos desse mdulo  aumentar a conscientizao de que as informaes so valiosas e vulnerveis e aprender quais medidas so necessrias para proteg-las.

Os tpicos para este mdulo so:

Informao e segurana: os conceitos, o valor da informao e da importncia da confiabilidade.

Ameaas e riscos: a relao entre as ameaas e confiabilidade.

Abordagem e organizao: a poltica de segurana e estabelecimento da Segurana da Informao.

Medidas: fsica, tcnica e organizacional.

e

Legislao e regulamentao: a importncia e funcionamento.

Contexto

Programa de qualificao

e funcionamento. Contexto Programa de qualificao O Certificado de Gerenciamento Avanado de Segurana da

O Certificado de Gerenciamento Avanado de Segurana da Informao baseado na

ISO/IEC 27002 segue o Certificado de EXIN Fundamentos de Segurana da Informao baseados na ISO/IEC 27002.

O certificado em Fundamentos de Segurana da Informao do EXIN baseado na

norma ISO/IEC 27002 faz parte do programa de qualificao em Segurana da Informao. O mdulo  seguido pelos certificados de Gerenciamento de Segurana da Informao Avanado do EXIN baseado na norma ISO/IEC 27002 e Gerenciamento de Segurana da Informao Especializado do EXIN baseado na

norma ISO/IEC 27002.

P

Qualquer pessoa na organizao que manuseia informaes.  tambm aplicvel a proprietrios de pequenas empresas a quem alguns conceitos bsicos de Segurana da Informao so necessrios. Este mdulo pode ser um excelente ponto de partida para novos profissionais de segurana da informao.

bl ico- alvo

Pr- requisitos

Nenhum

Formato do exame

Exame com questes de mltipla escolha

E stimativa de Tempo de E studo

60 horas

E xerccio prtico

No aplicvel

Tempo destinado ao exame

60minutos

Detalhes do exame

Nmero de questes:

40

Mnimo para aprovao:

65 % (26 de 40)

Com consulta:

no

Equipamentos eletrnicos permitidos:

no

E xemplos de questes

Voc pode fazer o download do simulado e se preparar melhor para o exame acessando http://www.exin.com

Curso

Quantidade de al unos em classe

O nmero mximo de alunos em sala  25.

(Isso no  aplicvel nos casos de ensino  distnc ia / CBT - computer based training/e-learning)

Horas de contato

O nmero mnimo de horas de contato durante o curso  de 7 horas. Isso inclui as atividades em grupo, preparao para o exame, e coffee breaks, mas no inclui tarefas de casa, preparao da logstica de exame e horrio de almoo.

Provedores de Treinamento

A lista das empresas credenciadas para ministrar este e outros treinamentos do

Exin encontra-se no nosso site: http://www.exin.com.

2 Requisitos do exame

Os requisitos do exame so os principais temas de u m mdulo. O candidato deve ter o domniocompleto sobre estes temas. Os requisitos do exame so elaborados na especificao do exame.

Requisitos de exame

 

E

specificao de exame

Peso

     

(% )

1

Informao e segurana

10

   

1.1

O conceito de informao

2.5

   

1.2

Valor da informao

2.5

   

1.3

Aspectos de confiabilidade

5

2

Ameaas e riscos

Ameaas e riscos

30

   

2.1

Ameaas e riscos

15

   

2.2

Relacionamento entre ameaas,

15

riscos e confiabilidade da informao

3

Abordagem e organizao

10

   

3.1

Poltica de segurana e

2.5

organizao de segurana

   

3.2

Componentes da organizao da

2.5

segurana

   

3.3

Gerenciamento de incidentes

5

4 Medidas

 

40

   

4.1

Importncia de medidas de

10

segurana

   

4.2

Medidas fsicas

10

   

4.3

Medidas tcnicas

10

   

4.4

Medidas organizacionais

10

5

L

egislao e regu

lamentao

 

10

   

5.1

Legislao e regulamentao

10

 

Total

   

100

Requisitos e especificaes do exame

1.

I nformao e Segurana (10%)

1.1

O conceito de informao (2,5%)

O

candidato entende o conceito de informao.

O

candidato  capaz de:

1.1.1

Explicar a diferena entre os dados e informaes

1.1.2

Descrever o meio de armazenamento que faz parte da

infraestruturabsica

1.2

Valor da informao (2,5%)

O

candidato entende o valor da informao para as organizaes.

O

candidato  capaz de:

1.2.1 Descrever o valor de dados / informao para as organizaes

1.2.2 Descrever como o valor de dados / informaes pode influenciar as organizaes

1.2.3 Explicar como conceitos aplicados de segurana de informaes protegem o valor de dados / informaes

1.3

Aspectos de confiabilidade (5%)

Aspectos de confiabilidade (5%)

O candidato conhece os aspectos de confiabilidade (confidencialidade, integridade, disponibilidade) da informao.

O

candidato  capaz de:

1.3.1 Nome dos aspectos de confiabilidade da informao

1.3.2 Descrever os aspectos de confiabilidade da informao

2.

Ameaas e riscos (30%)

Ameaas e riscos (30%)

2.1

Ameaa e risco (15%)

Ameaa e risco (15%)

O

candidato compreende os conceitos de ameaa e risco.

O

candidato  capaz de:

2.1.1

Explicar os conceitos de ameaa, de risco e anlise de risco

2.1.2

Explicar a relao entre uma ameaa e um risco

2.1.3

Descreva os vrios tipos de ameaas

2.1.4

Descreva os vrios tipos de danos

2.1.5

Descrever diferentes estratgias de risco

2 .2

R elacionamento entre ameaas, riscos e confiabilidade das informaes.

(15%)

O

candidato compreende a relao entre as ameaas, riscos e confiabilidade

das informaes.

 

O

candidato  capaz de:

2.2.1

Reconhecer exemplos dos diversos tipos de ameaas

2.2.2

Descrever os efeitos que os vrios tipos de ameaas tm sobre a informao e ao tratamento das informaes

3.

Abordagem e Organizao (10%)

Abordagem e Organizao (10%)

 

3.1

Poltica de Segurana e organizao de segurana (2,5%)

O

candidato tem conhecimento da poltica de segurana e conceitos de

organizao de segurana.

 

O

candidato  capaz de:

3.1.1 enunciar os objetivos e o contedo de uma poltica de segurana

3.1.2 enunciar os objetivos e o contedo de uma organizao de segurana

3.2

Componentes da organizao da segurana (2

,5%)

O

candidato conhece as vrias componentes da organizao da segurana.

O

candidato  capaz de:

 

3.2.1

Explicar a importncia de um cdigo de conduta

3.2.2

Explicar a importncia da propriedade

3.2.3

Nomear os mais importantes na organizao da segurana da informao

3.3

Gerenciamento de Incidentes (5%)

 

O

candidato compreende a importncia da gesto de incidentes e escaladas.

O

candidato  capaz de:

3.3.1

Resumir como incidentes de segurana so comunicados e as informaes que so necessrias

3.3.2

Dar exemplos de incidentes de segurana

3.3.3

Explicar as consequncias da no notificao de incidentes de segurana

3.3.4

Explicar o que implica uma escalada (funcional e hierrquico)

3.3.5

Descrever os efeitos da escalada dentro da organizao

3.3.6

Explicar o ciclo do incidente

4 .

4 . Medidas (40%) 4.1 I mportncia das medidas de segurana (10%) O candidato entende a

Medidas (40%)

4.1 I mportncia das medidas de segurana (10%)

O

candidato entende a importncia de medidas de segurana.

O

candidato  capaz de:

4.1.1

Descrever as maneiras pelas quais as medidas de segurana podem ser estruturadas ou organizadas

4.1.2

Dar exemplos de cada tipo de medida de segurana

4.1.3

Explicar a relao entre os riscos e medidas de segurana

4.1.4

Explicar o objetivo da classificao das informaes

4.1.5

Descrever o efeito da classificao

4.2 Medidas de segurana fsica (10%)

O candidato tem conhecimento tanto da criao e execuo de medidas de

segurana fsica.

O candidato  capaz de:

4.2.1 Dar exemplos de medidas de segurana fsica

4.2.2 Descrever os riscos envolvidos com insuficientes medidas de segurana fsica

4.3 Medidas de ordem tcnica (10%)

O candidato tem conhecimento tanto da criao quanto da execuo de

medidas de segurana tcnica.

O candidato  capaz de:

4.3.1

Dar exemplos de medidas de segurana tcnica

4.3.2

Descrever os riscos envolvidos com insuficientes medidas de segurana tcnica

4.3.3

Compreender os conceitos de criptografia, assinatura digital e certificado

4.3.4

Nome das trs etapas para a banca online (PC, web site, pagamento)

4.3.5

Nomear vrios tipos de software malicioso

4.3.6

Descrever as medidas que podem ser usadas contra software malicioso

4.4 Medidas organizacionais (10%)

O candidato tem conhecimento tanto da criao quanto da execuo de

medidas de segurana organizacional.

O candidato  capaz de:

4.4.1

Dar exemplos de medidas de segurana organizacional

4.4.2

Descrever os perigos e riscos envolvidos com insuficientes medidas de segurana organizacional

4.4.3

Descrever as medidas de segurana de acesso, tais como a segregao de funes e do uso de senhas

4.4.4

Descrever os princpios de gesto de acesso

4.4.5

Descrever os conceitos de identificao, autenticao e autorizao

4.4.6

Explicar a importncia para uma organizao de um bem montado Gerenciamento da Continuidade de Negcios

4.4.7

Tornar clara a importncia da realizao de exerccios

5 .

5 .

L

egislao e regu

lamentao (10%)

5.1

L

egislao e regu

lamentos (10%)

O candidato entende a importncia e os efeitos da legislao e

regulamentaes.

O candidato  capaz de:

5.1.1 Explicar porque a legislação e as regulamentações são importantes para a confiabilidade da informação

5.1.2 Dar exemplos de legislação relacionada à segurança da informação

5.1.3 Dar exemplos de regulamentos relacionados à segurança da informação

5.1.4 Indicar as medidas possíveis que podem ser tomadas para cumprir as

exigências da legislação e regulamentação

Justificativa de escolhas

Requisitos para o exame: justificativa da distribuio de peso. As medidas de segurana so, para a maioria do pessoal, os primeiros aspectos de Segurana da Informao que essas pessoas encontram. Consequentemente, as medidas so fundamentais para o mdulo e tm o maior peso. A seguir, ameaas e riscos em termos de peso. Finalmente, a percepo da poltica, organizao e legislao e regulamentao na rea de Segurana da Informao so necessrias para compreender a importncia das medidas de Segurana da Informao.

3 Lista de conceitos bsicos

Este captulo contm os termos com os quais os cand idatos devem mostrar familiaridade.

Os termos esto listados em ordem alfabtica.

Ameaa

Threat

Anlise da Informao

Information analysis

Anlise de Risco

Risk Analysis

Anlise de risco qualitativa

Qualitative risk analysis

Anlise quantitativa de risco

Quantitative risk analysis

Arquitetura da Informao

Information Architecture

Assinatura Digital

Digital Signature

Ativo

Asset

Auditoria

Audit

Autenticao

Authentication

Autenticidade

Authenticity

Autorizao

Authorization

Avaliao de Riscos (anlise de dependncia e vulnerabilidade)

Risk Assessment (Dependency & Vulnerability analysis)

Backup (Cpia de segurana)

Backup

Biometria

Biometrics

Botnet

Botnet

Categoria

Category

Certificado

Certificate

Chave

Key

Ciclo de Incidentes

Incident Cycle

Classificao

Classification

Cdigo de boas prticas de segurana da informao (ISO/IEC 27002:2005)

Code of practice for information security (ISO/IEC 27002:2005)

Cdigo de conduta

Code of conduct

Completeza

Completeness

Confiabilidade das informaes

Reliability of information

Confidencialidade

Confidentiality

Conformidade

Compliance

Continuidade

Continuity

Medidas

Controls

Controle de Acesso

Access Control

Corretiva

Corrective

Criptografia

Encryption

Dados

Data

Danos

Damage

Danos diretos Danos indiretos

Direct damage Indirect damage

Desastre

Disaster

Detectiva

Detective

D isponibilidade

Availability

Engenharia Social

Social Engineering

E scalao Escalao funcional Escalao hierrquica

Escalation Functional escalation Hierarchical escalation

Estratgia de Risco Reter riscos Evitar riscos Reduo de riscos

Risk Strategy Risk bearing Risk avoiding Risk reduction

Exatido

Correctness

Exclusividade

Exclusivity

Fator de produo

Production factor

Firewall pessoal

Personal Firewall

Fornecedor Ininterrupto de Energia (UPS-Uninterruptible Power Supply)

Uninterruptible power supply(UPS)

Gerenciamento da Continuidade de Negcios (GCN)

Business Continuity Management (BCM)

Gerenciamento da Informao

Information management

Gerenciamento da Mudana

Change Management

Gerenciamento de acesso lgico

Logical Access Management

Gerenciamento de riscos

Risk Management

Hacking

Hacking

Hoax

Hoax

Identificao

Identification

Impacto

Impact

Incidente de Segurana

Security incident

Informao

Information

Infraestrutura

Infrastructure

Infraestrutura de chave pblica (ICP)

Public Key Infrastructure (PKI)

Integridade

Integrity

Interferncia

Interference

ISO/IEC 27001:2005

ISO/IEC 27001:2005

ISO/IEC 27002:2005

ISO/IEC 27002:2005

Legislao de direitos autorais

Copyright legislation

Legislao sobre Crimes de Informtica

Computer criminality legislation

Legislao sobre proteo de dados pessoais

Personal data protection legislation

Legislao sobre registros pblicos

Public records legislation

Malware

Malware

Medida de segurana

Security measure

Meio de armazenamento

Storage Medium

No-repdio

Non-repudiation

Oportunidade

Opportunity

Organizao de Segurana

Security organization

Patch

Patch

Phishing

Phishing

P lano de Continuidade de N egcios (PCN)

Business Continuity Plan (BCP)

Plano de Recuperao de Desastre (PRD)

Disaster Recovery Plan (DRP)

Poltica de mesa limpa

Clear desk policy

Poltica de Privacidade

Privacy policy

Poltica de Segurana

Security policy

Porta de Manuteno

Maintenance door

Preciso

Precision

Preventiva

Preventive

Prioridade

Priority

Rede privada virtual (RPV)

Virtual Private Network (VPN)

Redutiva

Reductive

Regulamentao de segurana para informaes especiais p/ o governo

Security regulations for special information for the government

Regulamentao de Segurana para o governo

Security regulations for the government

Repressiva

Repressive

Risco

Risk

Robustez

Robustness

Rootkit

Rootkit

Segregao de funes

Segregation of duties

Sistema de Informao

Information system

Spam

Spam

Spyware

Spyware

Stand-by

Stand-by arrangement

Trojan

Trojan

Urgncia

Urgency

Validao

Validation

Verificao

Verification

Vrus

Virus

Vulnerabilidade

Vulnerability

Worm

Worm

4 Literatura

L iteratura de Suporte para o Exame

A Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H.

 

Foundations ofInformation Security Van Haren Publishing, 2010 ISBN 978 90 8753 568 1 eBook ISBN 978 90 87 53 624 3

Based on ISO27001 and ISO27002

Viso geral da literatura

 

E

specificao do

   

Literatura

exame

   
 

1.1

A:
A:

Captulo 3, Captulo 4

 

1.2

A:
A:

Captulo 4

 
 

1.3

A:
A:

Captulo 4

 
 

2.1

A:
A:

Captulo 5

 
 

2.2

A:
A:

Captulo 5

 
 

3.1

A:
A:

Captulo 9

 
 

3.2

A:
A:

6.2, 6.4, Captulo 9

 

3.3

A:
A:

Captulo 6

 
 

4.1

A:
A:

Captulo 5, Captulo 6

 

4.2

A:
A:

Captulo 7

 
 

4.3

A:
A:

Captulo 8, Captulo 10

 

4.4

A:

Captulo 9, Captulo 10

 

5.1

A:

Captulo 11

 

Contato EXIN

www.exin.com

Contato EXIN www.exin.com