Académique Documents
Professionnel Documents
Culture Documents
EXIN Fundamentos
de Segurana da
Informao
baseado na norma
ISO/IEC 27002
Edio Junho 2015
2 2
Contedo
1
2
3
4
Viso Geral
Requisitos do exame
Lista de conceitos bsicos
Literatura
4
7
12
15
3 3
1 Viso Geral
EXIN Fundamentos de Segurana da Informao baseado na norma ISO/IEC
27002 (ISFS.PR)
Resumo
A segurana da informao a proteo das informaes de uma grande
variedade de ameaas com o objetivo de assegurar a continuidade do negcio,
minimizar o risco do negcio e maximizar o retorno sobre os investimentos e as
oportunidades de negcios. (Definio da norma ISO/IEC 27002)
A segurana das informaes vem ganhando importncia no mundo da Tecnologia
da Informao (TI). A globalizao da economia est gerando uma troca cada vez
maior de informaes entre as organizaes (seus funcionrios, clientes e
fornecedores) bem como uma exploso no uso de computadores em rede e
dispositivos de informtica.
A norma internacional, o Cdigo de Prtica para Segurana da Informao
ISO/IEC 27002:2013, uma norma amplamente respeitada e consultada e fornece
uma estrutura para a organizao e o gerenciamento de um programa de
segurana das informaes. A implementao de um programa com base nesta
norma ser muito til para o objetivo de uma organizao de atender a muitas das
necessidades apresentadas no complexo ambiente operacional da atualidade.
Uma compreenso categrica desta norma importante para o desenvolvimento
pessoal de todos os profissionais de segurana das informaes.
Nos mdulos de Segurana da Informao do EXIN, utiliza-se a seguinte definio:
A Segurana da Informao lida com a definio, a implementao, a manuteno,
a conformidade e a avaliao de um conjunto coerente de controles (med idas) que
garantam a disponibilidade, a integridade e a confidencialidade da fonte de
informaes (manual e automtica).
No mdulo Fundamentos de Segurana da Informao do EXIN baseado na norma
ISO/IEC 27002 so testados os conceitos bsicos de segurana da informao e
suas relaes. Um dos objetivos desse mdulo aumentar a conscientizao de
que as informaes so valiosas e vulnerveis e aprender quais medidas so
necessrias para proteg-las.
Os tpicos para este mdulo so:
4 4
Contexto
Programa de qualificao
5 5
Pblico-alvo
Qualquer pessoa na organizao que manuseia informaes. tambm aplicvel a
proprietrios de pequenas empresas a quem alguns conceitos bsicos de Segurana
da Informao so necessrios. Este mdulo pode ser um excelente ponto de partida
para novos profissionais de segurana da informao.
Pr-requisitos
Nenhum
Formato do exame
Exame com questes de mltipla escolha
Estimativa de Tempo de Estudo
60 horas
Exerccio prtico
No aplicvel
Tempo destinado ao exame
60minutos
Detalhes do exame
Nmero de questes:
Mnimo para aprovao:
Com consulta:
Equipamentos eletrnicos permitidos:
40
65 % (26 de 40)
no
no
Exemplos de questes
Voc pode fazer o download do simulado e se preparar melhor para o exame
acessando http://www.exin.com
Curso
Quantidade de alunos em classe
O nmero mximo de alunos em sala 25.
6 6
2 Requisitos do exame
Os requisitos do exame so os principais temas de um mdulo. O candidato deve
ter o domnio completo sobre estes temas. Os requisitos do exame so elaborados
na especificao do exame.
Requisitos de exame
Especificao de exame
Peso
(% )
1 Informao e segurana
10
1.1 O conceito de informao
1.2 Valor da informao
1.3 Aspectos de confiabilidade
2.5
2.5
5
2 Ameaas e riscos
30
2.1 Ameaas e riscos
2.2 Relacionamento entre ameaas,
riscos e confiabilidade da informao
15
15
3 Abordagem e organizao
10
3.1 Poltica de segurana e
organizao de segurana
3.2 Componentes da organizao da
segurana
3.3 Gerenciamento de incidentes
2.5
2.5
5
4 Medidas
40
4.1 Importncia de medidas de
segurana
4.2 Medidas fsicas
4.3 Medidas tcnicas
4.4 Medidas organizacionais
10
10
10
10
5 Legislao e regulamentao
5.1 Legislao e regulamentao
10
10
Total
100
7 7
1.1
1.2
1.3
2.
2.1
8 8
2.2
3.
3.1
3.2
3.3
9 9
4.
Medidas (40%)
4.1
4.2
4.3
4.4
10 10
5.
5.1
Justificativa de escolhas
Conceitos gerais de TI tais como Big Data, Cloud e Teleworking (trabalho remoto/
distncia) tambm devem ser parte dos conhecimentos gerais dos candidatos.
Requisitos para o exame: justificativa da distribuio de peso.
As medidas de segurana so, para a maioria do pessoal, os primeiros aspectos de
Segurana da Informao que essas pessoas encontram. Consequentemente, as
medidas so fundamentais para o mdulo e tm o maior peso. A seguir, ameaas e
riscos em termos de peso. Finalmente, a percepo da poltica, organizao e
legislao e regulamentao na rea de Segurana da Informao so necessrias
para compreender a importncia das medidas de Segurana da Informao.
11 11
Acordo de confidencialidade
Ameaa
Anlise da Informao
Anlise de Risco
Anlise de risco qualitativa
Anlise quantitativa de risco
Arquitetura da Informao
Assinatura Digital
Ativo
Ativos de Negcios
Auditoria
Autenticao
Autenticidade
Autorizao
Avaliao de Riscos (anlise de
dependncia e vulnerabilidade)
Backup (Cpia de segurana)
Biometria
Botnet
Categoria
Certificado
Chave
Ciclo de Incidentes
Classificao
Cdigo de boas prticas de
segurana da informao
(ISO/IEC 27002:2013)
Cdigo de conduta
Completeza
Confiabilidade das informaes
Confidencialidade
Conformidade
Continuidade
Medidas
Controle de Acesso
Corretiva
Criptografia
Dados
Danos
Danos diretos
Danos indiretos
Desastre
Detectivo
Non-disclosure agreement
Threat
Information analysis
Risk Analysis
Qualitative risk analysis
Quantitative risk analysis
Information Architecture
Digital Signature
Asset
Business Assets
Audit
Authentication
Authenticity
Authorization
Risk Assessment (Dependency &
Vulnerability analysis)
Backup
Biometrics
Botnet
Category
Certificate
Key
Incident Cycle
Classification
Code of practice for information
security (ISO/IEC 27002:2013)
Code of conduct
Completeness
Reliability of information
Confidentiality
Compliance
Continuity
Controls
Access Control
Corrective
Encryption
Data
Damage
Direct damage
Indirect damage
Disaster
Detective
12 12
Disponibilidade
Engenharia Social
Escalao
Escalao funcional
Escalao hierrquica
Estratgia de Risco
Reter riscos
Evitar riscos
Reduo de riscos
Evento de segurana
Exatido
Exclusividade
Fator de produo
Firewall pessoal
Fornecedor Ininterrupto de
Energia (UPS-Uninterruptible
Power Supply)
Gerenciamento da Continuidade
de Negcios (GCN)
Gerenciamento da Informao
Gerenciamento da Mudana
Gerenciamento de acesso lgico
Gerenciamento de ativos de
negcios
Gerenciamento de riscos
Hacking
Hoax
Identificao
Impacto
Incidente de Segurana
Informao
Informaes secretas de
autenticao
Infraestrutura
Infraestrutura de chave pblica
(ICP)
Integridade
Interferncia
ISO/IEC 27001:2013
ISO/IEC 27002:2013
Legislao de direitos autorais
Legislao sobre Crimes de
Informtica
Legislao sobre proteo de
dados pessoais
Legislao sobre registros
pblicos
Malware
Medida de segurana
Meio de armazenamento
No-repdio
Availability
Social Engineering
Escalation
Functional escalation
Hierarchical escalation
Risk Strategy
Risk bearing
Risk avoiding
Risk reduction
Security event
Correctness
Exclusivity
Production factor
Personal Firewall
Uninterruptible power
supply(UPS)
Risk Management
Hacking
Hoax
Identification
Impact
Security incident
Information
Secret authentication information
Infrastructure
Public Key Infrastructure (PKI)
Integrity
Interference
ISO/IEC 27001:2013
ISO/IEC 27002:2013
Copyright legislation
Computer criminality legislation
Malware
Security measure
Storage Medium
Non-repudiation
13 13
Oportunidade
Organizao de Segurana
Patch
Phishing
Plano de Continuidade de
Negcios (PCN)
Plano de Recuperao de
Desastre (PRD)
Poltica de mesa limpa
Poltica de Privacidade
Poltica de Segurana
Porta de Manuteno
Preciso
Preventiva
Prioridade
Provisionamento de acesso do
usurio
Rede privada virtual (RPV)
Redutiva
Redundncia
Regulamentao de segurana
para informaes especiais p/ o
governo
Regulamentao de Segurana
para o governo
Repressiva
Reviso da segurana da
informao
Risco
Robustez
Rootkit
Segregao de funes
Segurana em desenvolvimento
Sistema de Informao
Sistema de Deteco de Intrusos
(IDS)
Spyware
Stand-by
Teste de aceitao do sistema
Trojan
Urgncia
Validao
Verificao
Vrus
Vulnerabilidade
Worm
Opportunity
Security organization
Patch
Phishing
Business Continuity Plan (BCP)
Risk
Robustness
Rootkit
Segregation of duties
Security in development
Information system
Intrusion Detection System (IDS)
Spyware
Stand-by arrangement
System acceptance testing
Trojan
Urgency
Validation
Verification
Virus
Vulnerability
Worm
Justificativa de escolhas
Conceitos gerais de TI tais como Big Data, Cloud e Teleworking (trabalho remoto/
distncia) tambm devem ser parte dos conhecimentos gerais dos candidatos.
14 14
4 Literatura
Literatura de Suporte para o Exame
A
Literatura
A:
Captulo 3
1.2
A:
Captulo 3 e 4
1.3
A:
Captulo 3 e 4
2.1
A:
Captulo 3
2.2
A:
Captulo 3 e 11
3.1
A:
Captulo 3, 5 e 6
3.2
A:
Captulo 6, 7, 8 e 13
3.3
A:
Captulo 3, 15 e 16
4.1
A:
Captulo 3, 8 e 16
4.2
A:
Captulo 3 e 11
4.3
A:
Captulo 6, 11 e 12
4.4
A:
Captulo 3, 6,9, 17 e 18
5.1
A:
Captulo 18
15 15
Contato EXIN
www.exin.com