E-Book Iso Iec 27002 Online Demo

Verso Portugus
(Brasil)
FUNDAMENTOS
27
ISO/IEC 27002
2010 - 2011 PMG Solutions | Todos os direitos Reservados
INTRODUO
Nota
ESTE DOCUMENTO CONTM INFORMAES PROPRIETRIAS, PROTEGIDAS POR
COPYRIGHT. TODOS OS DIREITOS RESERVADOS. NENHUMA PARTE DESTE DOCUMENTO
PODE SER FOTOCOPIADA, REPRODUZIDA OU TRADUZIDA PARA OUTRO IDIOMA SEM
CONSENTIMENTO DA PMG SOLUTIONS CONSULTORIA E TREINAMENTO LTDA, BRASIL.
Copyright 2010 - 2011, PMG Solutions

www.pmgsolutions.com.br
Cdigo: T2011ISO27002
Verso 3.2.0
P g i n a | 3 de 40
2010 - 2011 PMG Solutions
INTRODUO
P g i n a | 4 de 40
2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations
INTRODUO
Contedo
1.
INTRODUO ............................................................................................................................. 7
1.1. Viso Geral................................................................................................................................. 8
1.2. Propsito do Curso .................................................................................................................... 9
1.3. Pblico Alvo ............................................................................................................................... 9
1.4. Pr-Requisitos.......................................................................................................................... 10
1.5. Detalhes do exame .................................................................................................................. 10
1.6. Introduo Segurana da Informao .................................................................................. 11
2.
INFORMAO, OBJETIVOS DE NEGCIOS E REQUISITOS DE QUALIDADE ............................. 13
2.1. Introduo ............................................................................................................................... 16
2.2. Formas ..................................................................................................................................... 17
2.3. Sistema da Informao ............................................................................................................ 18
2.4. Valor da Informao ................................................................................................................ 21
2.5. Informao como fator de produo ...................................................................................... 23
2.6. Disponibilidade, Integridade e Confiabilidade ........................................................................ 24
2.7. Arquitetura da Informao...................................................................................................... 32
2.8. Anlise da Informao ............................................................................................................. 34
2.9. Gesto da Informao ............................................................................................................. 37
3.
AMEAAS E RISCOS ..................................................................... Erro! Indicador no definido.
3.1. Introduo ................................................................................... Erro! Indicador no definido.
3.2. Na prtica .................................................................................... Erro! Indicador no definido.
3.3. Gerenciamento de Riscos ............................................................ Erro! Indicador no definido.
3.4. Anlise de Riscos ......................................................................... Erro! Indicador no definido.
3.5. Tipo de Anlise de Riscos: Quantitativo ...................................... Erro! Indicador no definido.
3.6. Tipo de Anlise de Riscos: Qualitativo ........................................ Erro! Indicador no definido.
3.7. Medidas de Reduo de Riscos ................................................... Erro! Indicador no definido.
3.8. Tipos de Medidas de Segurana .................................................. Erro! Indicador no definido.
3.9. Tipos de Ameaas ........................................................................ Erro! Indicador no definido.
3.10. Tipos de Danos .......................................................................... Erro! Indicador no definido.
3.11. Tipos de Estratgia de Risco ...................................................... Erro! Indicador no definido.
3.12. Diretrizes para implementar medidas de segurana ................ Erro! Indicador no definido.
4.
ATIVOS DE NEGCIOS E INCIDENTES DE SEGURANA DA INFORMAO Erro! Indicador no
definido.
4.2. Quais so os ativos da empresa .................................................. Erro! Indicador no definido.
4.4. Classificao ................................................................................ Erro! Indicador no definido.
4.5. Gerenciamento de Incidentes de Segurana .............................. Erro! Indicador no definido.
4.6. Ciclo do Incidente ........................................................................ Erro! Indicador no definido.
4.7. Papis .......................................................................................... Erro! Indicador no definido.
5.
MEDIDAS FSICAS ........................................................................ Erro! Indicador no definido.
5.2. Segurana Fsica .......................................................................... Erro! Indicador no definido.
5.3. Equipamento ............................................................................... Erro! Indicador no definido.
5.4. Cabeamento ................................................................................ Erro! Indicador no definido.
P g i n a | 5 de 40
INTRODUO
5.5. Mdia de Armazenamento ........................................................... Erro! Indicador no definido.

5.6. Anis de Proteo........................................................................ Erro! Indicador no definido.
5.7. Alarmes ........................................................................................ Erro! Indicador no definido.
5.8. Proteo contra Incndio ............................................................ Erro! Indicador no definido.
5.9. Sinalizao e Agente Extintores .................................................. Erro! Indicador no definido.
6.
MEDIDAS TCNICAS (SEGURANA DE TI) ................................... Erro! Indicador no definido.
6.2. Gerenciamento Lgico de Acesso ............................................... Erro! Indicador no definido.
6.3. Requisitos de Segurana para Sistemas de Informao ............. Erro! Indicador no definido.
6.4. Processamento Correto das Aplicaes ...................................... Erro! Indicador no definido.
6.5. Criptografia .................................................................................. Erro! Indicador no definido.
6.6. A Poltica da Criptografia ............................................................. Erro! Indicador no definido.
6.7. Tipo de Sistemas de Criptografia................................................. Erro! Indicador no definido.
6.8. Segurana do Sistema de Arquivos ............................................. Erro! Indicador no definido.
6.9. Vazamento de Informaes ........................................................ Erro! Indicador no definido.
7.
MEDIDAS ORGANIZACIONAIS ..................................................... Erro! Indicador no definido.
7.2. Poltica de Segurana .................................................................. Erro! Indicador no definido.
7.3. Pessoal ......................................................................................... Erro! Indicador no definido.
7.4. Gerenciamento de Continuidade de Negcio ............................. Erro! Indicador no definido.
7.5. Gerenciando a Comunicao e os Processos Operacionais ........ Erro! Indicador no definido.
8.
LEGISLAO E REGULAMENTOS ................................................. Erro! Indicador no definido.
8.2. Observncia dos regulamentos legais ......................................... Erro! Indicador no definido.
8.3. Conformidade .............................................................................. Erro! Indicador no definido.
8.4. Direitos de Propriedades Intelectuais (DPI) ................................ Erro! Indicador no definido.
8.5. Proteo de Documentos Empresariais ...................................... Erro! Indicador no definido.
8.6. Confidencialidade ........................................................................ Erro! Indicador no definido.
8.7. Preveno do uso indevido dos recursos de TI ........................... Erro! Indicador no definido.
8.8. Poltica e Padres de Segurana ................................................. Erro! Indicador no definido.
8.9. Medidas de Controle ................................................................... Erro! Indicador no definido.
P g i n a | 6 de 40
INTRODUO
1.
INTRODUO
P g i n a | 7 de 40
INTRODUO
1.1. Viso Geral

A palavra segurana tem por natureza um sentido negativo, afinal, s se aplica quando
houver esta razo: quando houver um risco de que as coisas no esto como deveriam.
A segurana tem, portanto, tudo a ver com a proteo. Algo que tem sido feito para
reduzir a chance de problemas ou minimizar as consequncias. Um pneu sobressalente,
pijamas das crianas prova de fogo e polticas de seguros, so todas as formas de
segurana. Um pneu sobressalente assegura que ficaremos menos preocupados com um
pneu furado, a aplice de seguro cobre as consequncias financeiras e os pijamas contra
fogo reduzir o risco de graves danos fsicos a uma criana.
A informao tornou-se uma mercadoria valiosa na nossa sociedade e podemos ver isso
mais claramente se percebermos que um processo de negcio no pode ser realizado
sem informaes. Afinal, o controle dos processos sempre baseado nas informaes
dos gerentes. Muitas empresas no fazem mais nada, mas processam a informao,
particularmente no caso do setor financeiro e do governo. O setor de servios
empresariais no faz mais do que coletar informaes e, em seguida, apresent-lo de
outra forma.
Informaes ainda desempenham um papel importante no nosso tempo livre, como
msicas, livros e filmes em formato digital (MP3, CD, DVD), a Internet e todos os jogos
fazem uso da informao digital. O explosivo crescimento de cmeras digitais, bem como
telefones celulares, resultou em um nmero inestimvel de fotos que so armazenadas
em discos rgidos, tocadores portteis, CDs, DVDs e pendrives. Assim, no de se
estranhar que nos ltimos dez anos o tema da segurana da informao tornou-se
interessante para as empresas e o governo.
Este curso tratar do tema de segurana da informao de uma maneira simples e clara.
Os mdulos foram organizados de modo em que as pessoas que no so tcnicas ou
especialistas compreendam, inclusive, as medidas tcnicas.
H uma conexo entre risco e segurana: se no houvesse nenhum risco, no haveria
necessidade de criao de qualquer segurana, e isso, custa tempo e dinheiro, e assim,
se pode evit-los, ns o faremos.
O tipo e o nmero de medidas que so tomadas dependem do risco. Aps a introduo
geral e uma explicao do valor da informao, o curso examinar as ameaas e os
riscos. Examinando quais so os riscos e as maiores consequncias que no so
aceitveis objetivo de uma anlise de risco. No campo da segurana da informao
preciso determinar as medidas que tm que ser tomadas em relao a estes riscos e
ameaas. A anlise tambm determina os argumentos para lidar com esses riscos.
Antes de discutir as medidas, o mdulo 2 analisa como lidar com a segurana da
informao em um organizao. Temas como gesto, organizao e requisitos de
P g i n a | 8 de 40
INTRODUO
qualidade so tratados. O mdulo 3 examinar as ameaas e a anlise de risco. Do

mdulo 4, em seguida, nos atentaremos aos incidentes de segurana da informao e as
fraquezas. Os trs mdulos seguintes sero tratados sobre as medidas.
Este treinamento divide as medidas em trs grupos:
Medidas fsicas, tais como bloqueios e cercas, mas tambm os armrios e balces de
recepo;
Medidas tcnicas, como backups, software de cdigos e funes de antivrus;
Medidas Organizacionais como a segregao de funes, os acordos de
confidencialidade e autorizaes segundo o que permitido para acessar.
O treinamento , ento, concludo com uma discusso sobre as regulamentaes
aplicveis e da legislao. H certas leis que impem obrigaes estatutrias para
realizar medidas de segurana, por exemplo, a legislao de proteo de dados, que
estabelece requisitos para a proteo da privacidade pessoal.
1.2. Propsito do Curso
Segurana da Informao tem se tornado cada vez mais importante.
A globalizao da economia conduz a um crescente intercmbio de informaes entre as
organizaes (seus funcionrios, clientes e fornecedores) e uma utilizao crescente de
redes, tais como a rede interna da empresa, a conexo com as redes de outras empresas
e da Internet. Alm disso, as atividades de muitas companhias se baseiam em TI e a
informao tornou-se um ativo valioso. Proteo da informao crucial para a
continuidade e o bom funcionamento da organizao: a informao deve ser confivel. No
mdulo de Fundamentos da Segurana da Informao baseados na norma ISO/IEC
27002 (ISFS), os conceitos bsicos de segurana da informao e sua coerncia sero
tratados.
1.3. Pblico Alvo
Qualquer pessoa na organizao que manuseia informaes.
Este curso destinado a todos em uma organizao que deseja ter uma compreenso
bsica e, esses conhecimentos so importantes para todo o pessoal em uma empresa ou
governo, j que todos trabalham com informao. Os gerentes funcionais precisam ter
esta compreenso j questo responsvel pela segurana das informaes em seu
departamento. Esse conhecimento fundamental tambm para todas as pessoas das
reas de negcios, incluindo os trabalhadores por conta prpria sem empregados, pois
so responsveis por proteger suas prprias informaes. E, claro, este conhecimento
constitui uma boa base para aqueles que consideram uma carreira como um especialista
P g i n a | 9 de 40
INTRODUO
em segurana da informao, seja como um profissional de TI ou um gerente de

processo.
tambm aplicvel a proprietrios de pequenas empresas, pois contm alguns conceitos
bsicos de Segurana da Informao que so extremamente necessrios. Este curso
pode ser um excelente ponto de partida para novos profissionais de segurana da
informao.
1.4. Pr-Requisitos
No existem pr-requisitos para este curso e para exame de certificao do ISO/IEC
27002
1.5. Detalhes do exame
Tipo de exame: Mltipla escolha em computador ou impresso em papel

Tempo destinado ao exame: 60 minutos
Nmero de questes: 40
Mnimo para aprovao: 65 % (26 de 40)
Com consulta: no
Equipamentos eletrnicos Permitidos: No
Contedo:
10% - Segurana da Informao
2.5% - O Conceito de Informao
2.5% - Valor da Informao
5% - Aspectos de Confiabilidade
30% - Ameaas e Riscos
15% - Ameaas e Riscos
15% - O Relacionamento entre Ameaas, Riscos e Confiabilidade da
Informao
10% - Abordagem e Organizao
2.5% - Poltica de Segurana e Segurana da Organizao
2.5% - Componentes da Segurana da Organizao
5% - Gerenciamento de Incidentes
40% - Medidas
10% - Importncia das Medidas
10% - Medidas de Segurana Fsicas
10% - Medidas de Segurana Tcnica
10% - Medidas Organizacionais
10% - Legislao e Regulamentaes
P g i n a | 10 de 40
INTRODUO
1.6. Introduo Segurana da Informao

Este treinamento d uma viso geral da segurana da informao.
A segurana da informao a disciplina que concentra na qualidade (confiabilidade) da
prestao de informaes e no gerenciamento da continuidade das operaes. Qualidade
neste contexto entende-se como a disponibilidade, confidencialidade e integridade da
informao. Este curso ensinar o que estes requisitos de qualidade implicam como eles
podem ser determinados e o que necessrio para garanti-los em uma organizao. Esta
rea engloba o trabalho de especialista em segurana da informao. As pessoas que
desempenham um papel aqui so discutidas em mais detalhes nos mdulos pertinentes.
Cada mdulo ir explicar os assuntos especficos por meio de casos a partir de prticas
dirias. Esses casos sero to genricos quanto possvel e no especficos para um
determinado tipo de organizao.
Depois deste curso voc ter uma compreenso geral dos assuntos que englobam a
segurana da informao e saber por que esse tema to relevante.
Cada um de ns em nossa vida diria est envolvido com a segurana da informao,
muitas vezes sob a forma de medidas, que so por vezes aplicadas conosco e s vezes
implementados por ns mesmos. Considere, por exemplo, o uso de uma senha no
computador. Muitas vezes essas medidas tornam-se um incmodo, pois tomam o nosso
tempo e mal sabemos o que esto protegendo.
O truque para execuo da segurana da informao equilibrar uma srie de aspectos:
Os requisitos de qualidade que uma organizao pode ter para a informao;
Os riscos para estes requisitos de qualidade;
As medidas que so necessrias para minimizar esses riscos;
Assegurar a continuidade da organizao no caso de um desastre.
O objetivo principal deste curso a educao e por isso que cada mdulo tem diversos
exemplos de casos reais e os eventos recentes que ilustram a vulnerabilidade das
informaes. No nossa inteno assust-lo com estes eventos, mas sim torn-lo
consciente. Devido ao seu carter geral, este curso serve tambm para a formao de
uma conscientizao interna na empresa. Neste curso temos a tendncia de falar sobre
as grandes organizaes, mas os assuntos abordados so tambm aplicveis aos
ambientes domsticos, bem como pequenas organizaes e empresas que no tenha
nenhum departamento de segurana que, em tais situaes, as funes de segurana
so realizadas por uma nica pessoa.
P g i n a | 11 de 40
INTRODUO
P g i n a | 12 de 40
2.
INFORMAO, OBJETIVOS
DE NEGCIOS E
REQUISITOS DE
QUALIDADE
LEGISLAO
REGULAMENTOS
O que veremos neste mdulo?
Forma, Valor e Fator do Sistema de

Informao
Trade: Disponibilidade, Integridade e
Confiabilidade
Arquitetura e Anlise da Informao
Gesto da Informao
P g i n a | 15 de 40
LEGISLAO
REGULAMENTOS
Introduo
Garantia de
Proteo aos Dados
Dados
Informaes
.. Ao de informar ou informar-se. / Notcia recebida ou

comunicada; informe. / Espcie de investigao a que se
procede para verificar um fato
Informao, Objetivos de Negcios

e Requisitos de Qualidade
2.1. Introduo
Segurana da Informao diz respeito garantia da proteo de dados. Lembrando que
dados por si s, so apenas cdigos, sem significado algum, j a informao, uma
coleo de dados devidamente tratados que representam algum significado lgico.
Exemplo: Zona Norte, Ingls fluente, R$ 5 mil, Consultor. Esses dados isolados, no
representam nada, mas como so dados de um currculo, tornam-se informaes
essenciais para uma tomada de deciso, como por exemplo, na contratao de um
profissional.
Apesar da palavra informao representar diversos conceitos dentro da rea de TI, ns
alinharemos a definio segundo o dicionrio Aurlio: Ao de informar ou informar-se. /
Notcia recebida ou comunicada; informe. / Espcie de investigao a que se procede
para verificar um fato.
De qualquer forma, segurana da informao envolve a definio, implementao,
manuteno e avaliao de um sistema coerente de medidas que garantam a integridade,
disponibilidade e confidencialidade de informaes, sejam elas manuais ou
informatizadas.
P g i n a | 16 de 40
LEGISLAO
REGULAMENTOS
Formas
Imagens de vdeo
Textos de documentos
Palavras faladas

2.2. Formas
Como dito antes, para se obter um significado, os dados podem ser processados atravs
da tecnologia da informao para tornar-se uma informao. E se utilizamos a tecnologia
para esse processo de transformao, de dados para informao, significa que essas
informaes podem tomar-se de diversas formas.
Quando se trata da Segurana da Informao, as informaes que nos deparamos em
nosso dia-a-dia podem ser manifestadas de diversas formas, sejam atravs das imagens
de um vdeo, de textos em um documento, das palavras faladas ou ouvidas de um
Podcast, por exemplo.
No entanto, a segurana da informao deve ser tomada independente da sua forma, ou
seja, devem-se tomar medidas de proteo ou impor restries de acessos que sejam
necessrias para proteger essas informaes.
P g i n a | 17 de 40
LEGISLAO
REGULAMENTOS
Sistema da Informao
Combinao de meios, procedimentos,
regras e pessoas que asseguram o
fornecimento de informaes para um
processo operacional
Servidores
Armazenamento
Estao de Trabalho
Cabos e wireless
Telefone

2.3. Sistema da Informao
A transformao de dados em informaes, incluindo a sua transferncia e
processamento realizado pelos Sistemas de Informaes. Esses sistemas podem ser
um arquivo em um sistema, uma imagem dentro do diretrio, um telefone celular e
impressora.
No contexto da Segurana da Informao, um sistema de informao toda a
combinao de meios, procedimentos, regras e pessoas que asseguram o fornecimento
de informaes para um processo operacional.
Um dos maiores desafios da TI a dependncia que as reas de negcios tm com a
tecnologia, o quo seus negcios utilizam da TI para alavancar seus resultados,
consequentemente, criando outro grande desafio para a TI, garantir o bom funcionamento
desses sistemas atravs das aes da Segurana da Informao.
Como j foi dito, um sistema de TI consiste em meios tecnolgicos que esto
relacionados uns aos outros de alguma forma. Esses meios incluem:
Estao de trabalho contendo sistemas operacionais e outros softwares instalados;

Transporte de dados via rede, cabo ou via wireless;
P g i n a | 18 de 40
LEGISLAO
REGULAMENTOS
Servidores Centrais de aplicaes ou outros sistemas e/ou softwares;

Armazenamento de dados, por exemplo, espao em disco, caixas postais de e-mail
e bando de dados;
Telefones, PABX e antenas.
P g i n a | 19 de 40
LEGISLAO
REGULAMENTOS
Exemplo

2.3.1. Exemplo
A seguir, um exemplo de um risco de segurana em um sistema da informao:
Usurios de smartphones com o sistema operacional Symbian S60 esto sendo

advertidos sobre os vrus Beselo. Este Worm pode se espalhar via MMS e Bluetooth. O
Worm est disfarado como o arquivo Sex.mp3, love.jpg ou beauty.rm. Como resultado,
os usurios acreditam que um arquivo multimdia e assim instalam o Worm. Aps a
instalao, o Worm se espalha cada vez mais. Ele tambm se copia no carto de
memria do telefone.
A F-Secure (provedor de segurana mvel e computador) aconselha os utilizadores a
ignorar o pedido para instalao com o seguinte comunicado. "No h nenhuma razo
para uma foto solicitar a sua prpria instalao.
Como vimos, h a necessidade de quebrarmos alguns paradigmas sobre sistema de
informao, principalmente queles que acreditam que um telefone mvel no possa ser
considerado um risco para a TI.
P g i n a | 20 de 40
LEGISLAO
REGULAMENTOS
Valor da Informao
Dados ou informaes?

2.4. Valor da Informao
O valor atribudo informao segundo os seus interesses.
Para deixar mais claro esta afirmao, vamos encadear as idias, relembrando algo que
j vimos.
Informao que no tem significado algum chamado de dados;

Informaes que fazem sentido so constitudas de dados com algum significado;
Se algo meramente um dado ou uma informao, determinado, principalmente, pelo

destinatrio, ou seja, por aquele que l, ouve ou utiliza. Enquanto algumas pessoas
podem considerar um determinado conjunto de dados pouco interessante, outros podem
ser capazes de extrair informaes valiosas a partir destes dados. O valor da informao
, portanto, determinado pelo valor que o receptor lhe atribui.
Vamos imaginar um leigo em assunto econmicos e financeiros visualizando um painel de
negociaes de papis da Bovespa em um Home Broker, com mensagens passando na
tela, com visualizaes de grficos apontando para cima e outros para baixo, cdigos
jamais vistos, cores piscando na tela, nmeros, indicadores, etc. Ou ainda, imaginar um
painel de uma aeronave com diversos indicadores, avisos sonoros e luzes. Para quem
P g i n a | 21 de 40
LEGISLAO
REGULAMENTOS
no conhece ou no se interessa pelo assunto, esses dados no representam nenhum

valor para o receptor.
P g i n a | 22 de 40
LEGISLAO
REGULAMENTOS
Informao como fator de produo

Capital
Mo de Obra
Matria-Prima
Tecnologia

2.5. Informao como fator de produo
Os fatores padro da produo de uma empresa ou organizao so: capital, a mo de
obra e matria-prima. A tecnologia da informao tambm um grande fator de produo,
j que existe uma grande dependncia da TI ao negcio.
As empresas no podem existir sem a informao. Uma indstria que perde as
informaes do seu estoque geralmente ter muita dificuldade de continuar suas
operaes sem perder algum cliente, ou cair no descrdito no mercado. Algumas
empresas, como um escritrio de contabilidade, ainda tem informaes como o seu nico
produto.
Consideremos tambm o mercado financeiro onde a informao o principal produto,
alm da importncia da disponibilidade do canal de comunicao, para obter essas
informaes.
P g i n a | 23 de 40
LEGISLAO
REGULAMENTOS
Disponibilidade, Integridade e
Confiabilidade
A importncia da informao para os processos
operacionais;
A indispensabilidade das informaes dentro dos
processos operacionais;
A recuperao da informao.

2.6. Disponibilidade, Integridade e Confiabilidade
Ao proteger o valor da informao, ns olhamos para trs fatores, que so os requisitos
de qualidade que a informao tem que satisfazer. A informao deve ser confivel, ou
seja, ele deve ter as seguintes propriedades, conforme o chamado CIA:
Confidencialidade (confidentiality)
Integridade (integrity)
Disponibilidade (availability)
Ao invs do termo de confidencialidade, algumas empresas podem utilizar o termo,

exclusividade.
Os conselhos que so dados para o tratamento das ameaas em uma anlise de risco
so baseados em trs pilares. O ponto de partida a influncia que os requisitos do CIA
tm sobre o valor da informao:
A importncia da informao para os processos operacionais;

A indispensabilidade das informaes dentro dos processos operacionais;
A recuperao da informao.
P g i n a | 24 de 40
LEGISLAO
REGULAMENTOS
Disponibilidade
Pontualidade. Os sistemas de informao esto
disponveis quando necessrios;
Continuidade. O pessoal pode continuar a trabalhar
no caso de um fracasso ou indisponibilidade;
Robustez. No h capacidade suficiente para
permitir que todos os funcionrios trabalhem nos
sistemas de informao.

2.6.1. Disponibilidade
Disponibilidade o grau em que a informao est disponvel para o usurio e para o
sistema de informao que est em operao no momento que a organizao requer.
As caractersticas de disponibilidade so:
Pontualidade. Os sistemas de informao esto disponveis quando necessrios;
Continuidade. O pessoal pode continuar a trabalhar no caso de um fracasso ou
indisponibilidade;
Robustez. No h capacidade suficiente para permitir que todos os funcionrios
trabalhem nos sistemas de informao.
E agora, alguns exemplos de medidas de disponibilidade:
A gesto e armazenamento de dados diminuem a chance de perda de
informaes. Os dados so, por exemplo, armazenados em um disco de rede, ao
invs do disco rgido do computador;
Os procedimentos de backup so criados. Os requisitos legais quanto ao tempo
de armazenamento devem ser estabelecidos. A localizao do backup separada
P g i n a | 25 de 40
LEGISLAO
REGULAMENTOS
fisicamente do negcio, a fim de garantir a disponibilidade em casos de

emergncia;
Procedimentos de emergncia so criados para assegurar que as atividades
recomecem assim que possvel, aps uma ruptura em grande escala.
P g i n a | 26 de 40
LEGISLAO
REGULAMENTOS
Integridade
Informao atualizada
Informao sem erros

2.6.2. Integridade
Integridade o grau em que a informao est atualizada e sem erros. As caractersticas
da integridade so as correes e a integridade das informaes.
E agora, alguns exemplos de medidas de integridade:
Alteraes nos sistemas e dados so autorizadas. Por exemplo, um membro da

equipe entra com um novo preo para um artigo no site, e outra verifica a
regularidade do preo antes de ser publicado.
Aes dos usurios so gravadas, que servir como registros de uma mudana na
informao.
Aes em sistemas crticos, por exemplo, na instalao de um novo software, no
pode ser realizada por apenas um pessoa. Ao segregar funes, cargos e as
autoridades, pelo menos, duas pessoas sero necessrias para realizar uma
mudana que tem consequncias importantes.
A integridade dos dados pode ser assegurada atravs de tcnicas de criptografia,
que proteger as informaes contra acesso no autorizado ou alterao. A poltica
e a gesto para a criptografia pode ser definida em um documento distinto.
P g i n a | 27 de 40
LEGISLAO
REGULAMENTOS
Criar mecanismos que obriguem as pessoas a usarem termos corretos. Por

exemplo, um terceirizado sempre chamado de terceirizado", prestador de
servios" um termo diferente e no se pode inserir em um banco de dados
cadastrais.
P g i n a | 28 de 40
LEGISLAO
REGULAMENTOS
Exemplo

2.6.3. Exemplo
Segundo a empresa de segurana Finjan, os criminosos esto usando computadores e
servidores de crimeware da Argentina e da Malsia para vender logins de hospitais e de
outros profissionais de sade. Os especialistas em segurana, regularmente encontram
todos os tipos de informaes interessantes de servidores invadidos. Nesta ocasio, os
dados dos hospitais e dos prestadores de servios de sade, informaes de negcios de
uma companhia area, dados dos impostos e nmeros de seguro social, foram obtidos
atravs do roubo de identidade.
Usando os dados dos pacientes roubados, os criminosos so capazes de adquirir
medicamentos e tratamentos que podem em seguida, vend-los. Para as vtimas, isso
pode ter consequncias para a sua cobertura de seguro e nos registros mdicos, que
podem resultar em tratamentos prejudiciais e incorreta, diz Finjan.
Nos servidores crimeware, a empresa encontrou logins Citrix de um hospital americano e
de outras instituies mdicas.
* Crimeware um termo genrico que caracteriza todo tipo de tentativa de roubo de
fundos
P g i n a | 29 de 40
LEGISLAO
REGULAMENTOS
Confidencialidade
Restrio de acesso
Privacidade

2.6.4. Confidencialidade
A confidencialidade o grau em que o acesso informao restrito a um grupo definido
de pessoas autorizadas. Isso tambm inclui medidas para proteger a privacidade.
E agora, alguns exemplos de medidas de confidencialidade:
Acesso informao concedido com base na necessidade. No necessrio,
por exemplo, para um colaborador da rea financeira visualizar os relatrios das
discusses com o cliente.
Medidas para garantir que as informaes no caiam em mos erradas. Garantir,
por exemplo, que documentos confidenciais no sejam mantidos sobre a mesa
enquanto no esto presentes (poltica de mesa limpa).
Gerenciamento de acesso lgico para garantir que as pessoas no autorizadas ou
os processos no tenham acesso aos sistemas, bases de dados e programas. Um
usurio, por exemplo, no tem o direito de alterar as configuraes de uma estao
de trabalho.
A segregao de funes criada entre os desenvolvedores de sistemas e os
usurios da organizao. Um desenvolvedor de sistema no pode, por exemplo,
fazer qualquer alterao de salrios.
P g i n a | 30 de 40
LEGISLAO
REGULAMENTOS
Segregaes entre ambientes de desenvolvimento, teste, homologao e

ambiente de produo.
No processamento e utilizao dos dados, as medidas so tomadas para garantir
a privacidade das pessoas e terceiros. O departamento de Recursos Humanos
tem, por exemplo, sua rede prpria, que no acessvel a outros departamentos.
O uso de computadores por usurios finais cercado com medidas para que a
confidencialidade das informaes seja garantida. Um exemplo uma senha que
d acesso ao computador e rede.
P g i n a | 31 de 40
LEGISLAO
REGULAMENTOS
Arquitetura da Informao
Encaminhamento
Reporte
Distribuio
Disponibilizao

2.7. Arquitetura da Informao
A segurana da informao est intimamente relacionada com a arquitetura da
informao. A arquitetura da informao o processo que foca na organizao de como
ser feita a prestao de informao dentro de uma empresa.
Essa prestao pode ser entendida tambm como o reporte, encaminhamento,
distribuio, disponibilizao das informaes da companhia.
Como brevemente descrito, certas exigncias so definidas para o fornecimento de
informaes. A segurana da informao pode ajudar a garantir que os requisitos so
realizados na arquitetura de informao. A Arquitetura da Informao focada
principalmente na realizao da necessidade da informao da organizao e da forma
que esta pode ser organizada.
J a Segurana da Informao poder apoiar este processo, garantindo a integridade,
disponibilidade e confidencialidade das informaes.
P g i n a | 32 de 40
LEGISLAO
REGULAMENTOS
Exemplo

2.7.1. Exemplo
Agora, um exemplo de problemas do tratamento da arquitetura da informao.
O Novo Boeing 787 Dreamliner pode ter um srio problema de segurana. Segundo a
American Federal Aviation Administration (FAA), teoricamente possvel os passageiros
do avio fazerem logon no sistema de controle do avio. Parece que h uma conexo
fsica entre a rede de computadores que fornece aos passageiros, acesso internet e a
navegao do avio, comunicao e sistemas de controle.
Esta conexo fsica um grande problema de segurana, pois d aos hackers acesso
potencial aos sistemas mais importantes do avio. Segundo a FAA, a melhor soluo
remover completamente este conexo fsica.
A Boeing afirmou que a empresa j tinha conhecimento do relatrio da FAA e que j esto
trabalhando em uma soluo. Segundo a Boeing, no entanto, a rede dos passageiros e o
sistema do avio no se conectam completamente, no sendo possvel comprometer o
controle do sistema. Especialistas de TI dizem que a utilizao de um firewall de software
apenas, no o suficiente para proteger um sistema to importante.
P g i n a | 33 de 40
LEGISLAO
REGULAMENTOS
Anlise da Informao
Projetar um sistema baseado no seu Fluxo
Em virtude do resultado da anlise

2.8. Anlise da Informao
A anlise da informao fornece uma imagem clara de como uma organizao lida com o
fluxo ou workflow da informao dentro da empresa.
Por exemplo, um registro de hspede de um hotel atravs do site. Esta informao
passada para o departamento da administrao, que em seguida aloca um quarto. A
recepo sabe que o cliente vai chegar hoje. O departamento de servios domsticos
sabe que a sala deve ser limpa para a chegada do hspede. Em todas essas etapas,
importante que a informao seja confivel. Os resultados de uma anlise da informao
podem ser usados para projetar um sistema de informao.
P g i n a | 34 de 40
LEGISLAO
REGULAMENTOS
Processos Operacionais e de Informaes

Processo Primrio
Processo orientativo
Processo de apoio

2.8.1. Processos Operacionais e de Informaes

Em um ambiente de negcio, existe uma estreita ligao entre os processos operacionais
e as informaes. Um processo operacional o processo que est no corao do
negcio. Em um processo operacional, as pessoas trabalham em um produto ou servio
para um cliente. Um processo operacional tem as seguintes etapas:
Entrada;
Processo;
Sada.
Existem vrios tipos de processos operacionais:

O processo primrio. Por exemplo, o processo de fabricao de uma bicicleta em uma
determinada indstria.
Processo orientativo. Por exemplo, processo de planejamento estratgico da empresa.
Processos de apoio. Por exemplo, processos de compra e venda ou processos de RH
para contratao de recursos.
P g i n a | 35 de 40
LEGISLAO
REGULAMENTOS
A informao tornou-se um fator de produo importante na realizao dos processos

operacionais. Um dos mtodos para determinar o valor da informao verificar o papel
da informao no processo.
Cada processo operacional estabelece requisitos especficos para a prestao de
informaes. H processos que so muito dependentes da disponibilidade de
informaes, por exemplo, o website da empresa, enquanto outros processos esto mais
dependentes da correo absoluta das informaes, como os preos dos produtos e
assim por diante.
P g i n a | 36 de 40
LEGISLAO
REGULAMENTOS
Gesto da Informao e a Informtica
Gesto da
comunicao
Informaes
Informtica desenvolve

2.9. Gesto da Informao
Gesto da informao formula e dirige a poltica relativa prestao de informao de
uma organizao. Dentro deste sistema, um gerenciador de informaes pode fazer uso
da arquitetura e anlise da informao.
A gesto da informao envolve muito mais do que o tratamento automatizado da
informao realizado por uma organizao. Em muitos casos, a comunicao externa e a
comunicao com a mdia fazem parte da estratgia de gesto da informao.
Informtica
A expresso informtica refere-se cincia lgica usada para trazer a estrutura de
informao e sistemas. importante entender que a informtica pode ser usada para
desenvolver programas, sistemas e aplicaes, com o objetivo de gerar informaes
atravs do fornecimento de dados.
P g i n a | 37 de 40
LEGISLAO
REGULAMENTOS
Resumo
Gesto da Informao
Forma da Informao
Arquitetura da Informao
Sistema da Informao
Confidencialidade
Valor da Informao
Integridade
Disponibilidade

Neste captulo voc aprendeu sobre as vrias formas de sistemas de informao. Voc
tambm foi introduzido no trio: disponibilidade, confidencialidade e integridade.
Finalmente, voc viu como a segurana da informao importante para os processos
operacionais, arquitetura da informao e na gesto da informao.
P g i n a | 38 de 40
LEGISLAO
REGULAMENTOS
Teste

1. O que no considerado um Sistema de Informao para o ISO/IEC 27002?
a.
b.
c.
d.
Fax
Servidores de Impresso
E-mail
Imagens de um vdeo
2. Qual destes uma medida de Integridade?

a.
b.
c.
d.
Gerenciamento de acesso lgico

Criao de procedimento de emergncia
Segregao de funo
Tcnicas de criptografia
3. Qual destes no uma medida de Disponibilidade?

a.
b.
c.
d.
Procedimentos de backup
Utilizao de senha de acesso
Armazenamento de dados
Criao de procedimento de emergncia
P g i n a | 39 de 40
LEGISLAO
REGULAMENTOS
4. Qual destes no uma forma de prestao de contas na arquitetura da

informao?
a.
b.
c.
d.
Reporte
Encaminhamento
Armazenamento
Distribuio
5. Qual destes no um tipo de processo operacional?

Processo Primrio
Processo Secundrio
Processo Orientador
Processo de Apoio
Gabarito
1. d.
2. d.
3. b.
5. b.
P g i n a | 40 de 40
4. c.

E-Book Iso Iec 27002 Online Demo

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

E-Book Iso Iec 27002 Online Demo

Enviado por

Direitos autorais:

Formatos disponíveis

Verso Portugus

2010 - 2011 PMG Solutions | Todos os direitos Reservados

Copyright 2010 - 2011, PMG Solutions

2010 - 2011 PMG Solutions

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

2010 - 2011 PMG Solutions

5.5. Mdia de Armazenamento ........................................................... Erro! Indicador no definido.

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

2010 - 2011 PMG Solutions

1.1. Viso Geral

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

qualidade so tratados. O mdulo 3 examinar as ameaas e a anlise de risco. Do

2010 - 2011 PMG Solutions

em segurana da informao, seja como um profissional de TI ou um gerente de

Tipo de exame: Mltipla escolha em computador ou impresso em papel

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

1.6. Introduo Segurana da Informao

2010 - 2011 PMG Solutions

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

O que veremos neste mdulo?

Forma, Valor e Fator do Sistema de

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

.. Ao de informar ou informar-se. / Notcia recebida ou

Informao, Objetivos de Negcios

2010 - 2011 PMG Solutions

Informao, Objetivos de Negcios

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

Informao, Objetivos de Negcios

Estao de trabalho contendo sistemas operacionais e outros softwares instalados;

2010 - 2011 PMG Solutions

Servidores Centrais de aplicaes ou outros sistemas e/ou softwares;

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

Informao, Objetivos de Negcios

Usurios de smartphones com o sistema operacional Symbian S60 esto sendo

2010 - 2011 PMG Solutions

Informao, Objetivos de Negcios

Informao que no tem significado algum chamado de dados;

Se algo meramente um dado ou uma informao, determinado, principalmente, pelo

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

no conhece ou no se interessa pelo assunto, esses dados no representam nenhum

2010 - 2011 PMG Solutions

Informao como fator de produo

Informao, Objetivos de Negcios

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

Informao, Objetivos de Negcios

Ao invs do termo de confidencialidade, algumas empresas podem utilizar o termo,

A importncia da informao para os processos operacionais;

2010 - 2011 PMG Solutions

Informao, Objetivos de Negcios

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

fisicamente do negcio, a fim de garantir a disponibilidade em casos de

2010 - 2011 PMG Solutions

Informao sem erros

Informao, Objetivos de Negcios

Alteraes nos sistemas e dados so autorizadas. Por exemplo, um membro da

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

Criar mecanismos que obriguem as pessoas a usarem termos corretos. Por

2010 - 2011 PMG Solutions

Informao, Objetivos de Negcios

2010 - 2011 PMG Solutions ISO/IEC 27002 Foundations

Informao, Objetivos de Negcios

2010 - 2011 PMG Solutions

Segregaes entre ambientes de desenvolvimento, teste, homologao e