Guia de Elaborao de Documentos

Fundamentos da
Segurana da
Informao
baseado na norma
ISO/IEC 27002
Edio Junho 2011

Copyright 2011 EXIN

All rights reserved. No part of this publication may be
published, reproduced, copied or stored in a data
processing system or circulated in any form by print,
photo print, microfilm or any other means without written
permission by EXIN.

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

2 2

Contedo
1
2
3
4

Viso Geral
Requisitos do exame
Lista de conceitos bsicos
Literatura

4
7
12
15

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

3 3

1 Viso Geral
Fundamentos da Segurana da Informao baseado na norma ISO/IEC 27002
(ISFS.PR)
Resumo
Os Guias de Elaborao de Documentos so desenhados para auxiliar provedores
de treinamentos a desenvolver cursos e materiais didticos que atendam aos
requisitos do EXIN.
O principal objetivo do Guia identificar os assuntos tratados no exame, os
requisitos e especificaes do exame e o pblico alvo para apoiar o
desenvolvimento de novos cursos de alta qualidade.
Segurana da Informao tem se tornado cada vez mais importante. A
globalizao da economia conduz a um crescente intercmbio de informaes
entre as organizaes (seus funcionrios, clientes e fornecedores) e uma utilizao
crescente de redes, tais como a rede interna da empresa, a conexo com as redes
de outras empresas e da Internet.
No mdulo de Fundamentos da Segurana da Informao baseados na norma
ISO/IEC 27002 (ISFS), os conceitos bsicos de segurana da informao e sua
coerncia so testados. O pblico alvo so os colaboradores em geral. O
conhecimento bsico que testado neste mdulo contribui para o entendimento de
que as informaes so vulnerveis e que medidas so necessrias para proteger
essas informaes.
Os tpicos para este mdulo so:

Informao e segurana: os conceitos, o valor da informao e da importncia

da confiabilidade.

Ameaas e riscos: a relao entre as ameaas e confiabilidade.

Abordagem e organizao: a poltica de segurana e estabelecimento da

Segurana da Informao.

Medidas: fsica, tcnica e organizacional.

e

Legislao e regulamentao: a importncia e funcionamento.

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

4 4

Contexto

O Certificado de Gerenciamento Avanado de Segurana da Informao baseado na

ISO/IEC 27002 segue o Certificado de Fundamentos da Segurana da Informao
baseados na ISO/IEC 27002.
Pblico alvo
Qualquer pessoa na organizao que manuseia informaes. tambm aplicvel a
proprietrios de pequenas empresas a quem alguns conceitos bsicos de Segurana
da Informao so necessrios. Este mdulo pode ser um excelente ponto de partida
para novos profissionais de segurana da informao.
Pr-requisitos
Nenhum
Formato do exame
Exame com questes de mltipla escolha
Estimativa de Tempo de Estudo
60 horas
Exerccio prtico
No aplicvel

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

5 5

Tempo destinado ao exame

60 minutos
Detalhes do exame
Nmero de questes:
Mnimo para aprovao:
Com consulta:
Equipamentos eletrnicos permitidos:

40
65 % (26 de 40)
no
no

Exemplos de questes
Voc pode fazer o download do simulado e se preparar melhor para o exame
acessando http://www.exin-exams.com

Curso
Quantidade de alunos em classe
O nmero mximo de alunos em sala 25.

(Isso no aplicvel nos casos de ensino distncia / CBT - computer based

training/e-learning)
Horas de contato
O nmero mnimo de horas de contato durante o curso de 7 horas. Isso inclui as
atividades em grupo, preparao para o exame, e coffee breaks, mas no inclui
tarefas de casa, preparao da logstica de exame e horrio de almoo.
Provedores de Treinamento
A lista das empresas credenciadas para ministrar este e outros treinamentos do
Exin encontra-se no nosso site: http://www.exin-exams.com.

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

6 6

2 Requisitos do exame
Os requisitos do exame so os principais temas de um mdulo. O candidato deve
ter o domnio completo sobre estes temas. Os requisitos do exame so elaborados
na especificao do exame.
Requisitos de exame

Especificao de exame

Peso
(% )

1 Informao e segurana

10
1.1 O conceito de informao
1.2 Valor da informao
1.3 Aspectos de confiabilidade

2.5
2.5
5

2 Ameaas e riscos

30
2.1 Ameaas e riscos
2.2 Relacionamento entre ameaas,
riscos e confiabilidade da informao

15
15

3.1 Poltica de segurana e

organizao de segurana
3.2 Componentes da organizao da
segurana
3.3 Gerenciamento de incidentes

2.5

3 Abordagem e organizao

10

2.5
5

4 Medidas

40
4.1 Importncia de medidas de
segurana
4.2 Medidas fsicas
4.3 Medidas tcnicas
4.4 Medidas organizacionais
4.5 Importncia de medidas de
segurana

10
10
10
10

5 Legislao e regulamentao
5.1 Legislao e regulamentao

10
10

Total

100

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

7 7

Requisitos e especificaes do exame

1.

Informao e Segurana (10%)

1.1

O conceito de informao (2,5%)

O candidato entende o conceito de informao.
O candidato capaz de:
1.1.1 Explicar a diferena entre os dados e informaes
1.1.2 Descrever o meio de armazenamento que faz parte da infra-estrutura
bsica

1.2

Valor da informao (2,5%)

O candidato entende o valor da informao para as organizaes.
O candidato capaz de:
1.2.1 Descrever o valor de dados / informao para as organizaes
1.2.2 Descrever como o valor de dados / informaes pode influenciar as
organizaes
1.2.3 Explicar como conceitos aplicados de segurana de informaes
protegem o valor de dados / informaes

1.3

Aspectos de confiabilidade (5%)

O candidato conhece os aspectos de confiabilidade (confidencialidade,
integridade, disponibilidade) da informao.
O candidato capaz de:
1.3.1 Nome dos aspectos de confiabilidade da informao
1.3.2 Descrever os aspectos de confiabilidade da informao

2.

Ameaas e riscos (30%)

2.1

Ameaa e risco (15%)

O candidato compreende os conceitos de ameaa e risco.
O candidato capaz de:
2.1.1 Explicar os conceitos de ameaa, de risco e anlise de risco
2.1.2 Explicar a relao entre uma ameaa e um risco
2.1.3 Descreva os vrios tipos de ameaas
2.1.4 Descreva os vrios tipos de danos
2.1.5 Descrever diferentes estratgias de risco

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

8 8

2.2

Relacionamento entre ameaas, riscos e confiabilidade das informaes.

(15%)
O candidato compreende a relao entre as ameaas, riscos e confiabilidade
das informaes.
O candidato capaz de:
2.2.1 Reconhecer exemplos dos diversos tipos de ameaas
2.2.2 Descrever os efeitos que os vrios tipos de ameaas tm sobre a
informao e ao tratamento das informaes

3.

Abordagem e Organizao (10%)

3.1

Poltica de Segurana e organizao de segurana (2,5%)

O candidato tem conhecimento da poltica de segurana e conceitos de
organizao de segurana.
O candidato capaz de:
3.1.1 enunciar os objetivos e o contedo de uma poltica de segurana
3.1.2 enunciar os objetivos e o contedo de uma organizao de segurana

3.2

Componentes da organizao da segurana (2,5%)

O candidato conhece as vrias componentes da organizao da segurana.
O candidato capaz de:
3.2.1 Explicar a importncia de um cdigo de conduta
3.2.2 Explicar a importncia da propriedade
3.2.3 Nomear os mais importantes na organizao da segurana da informao

3.3

Gerenciamento de Incidentes (5%)

O candidato compreende a importncia da gesto de incidentes e escaladas.
O candidato capaz de:
3.3.1 Resumir como incidentes de segurana so comunicados e as
informaes que so necessrias
3.3.2 Dar exemplos de incidentes de segurana
3.3.3 Explicar as conseqncias da no notificao de incidentes de segurana
3.3.4 Explicar o que implica uma escalada (funcional e hierrquico)
3.3.5 Descrever os efeitos da escalada dentro da organizao
3.3.6 Explicar o ciclo do incidente

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

9 9

4.

Medidas (40%)

4.1

Importncia das medidas de segurana (10%)

O candidato entende a importncia de medidas de segurana.
O candidato capaz de:
4.1.1 Descrever as maneiras pelas quais as medidas de segurana podem ser
estruturadas ou organizadas
4.1.2 Dar exemplos de cada tipo de medida de segurana
4.1.3 Explicar a relao entre os riscos e medidas de segurana
4.1.4 Explicar o objetivo da classificao das informaes
4.1.5 Descrever o efeito da classificao

4.2

Medidas de segurana fsica (10%)

O candidato tem conhecimento tanto da criao e execuo de medidas de
segurana fsica.
O candidato capaz de:
4.2.1 Dar exemplos de medidas de segurana fsica
4.2.2 Descrever os riscos envolvidos com insuficientes medidas de segurana
fsica

4.3

Medidas de ordem tcnica (10%)

O candidato tem conhecimento tanto da criao quanto da execuo de
medidas de segurana tcnica.
O candidato capaz de:
4.3.1 Dar exemplos de medidas de segurana tcnica
4.3.2 Descrever os riscos envolvidos com insuficientes medidas de segurana
tcnica
4.3.3 Compreender os conceitos de criptografia, assinatura digital e certificado
4.3.4 Nome das trs etapas para a banca online (PC, web site, pagamento)
4.3.5 Nomear vrios tipos de software malicioso
4.3.6 Descrever as medidas que podem ser usados contra software malicioso

4.4

Medidas organizacionais (10%)

O candidato tem conhecimento tanto da criao quanto da execuo de
medidas de segurana organizacional.
O candidato capaz de:
4.4.1 Dar exemplos de medidas de segurana organizacional
4.4.2 Descrever os perigos e riscos envolvidos com insuficientes medidas de
segurana organizacional
4.4.3 Descrever as medidas de segurana de acesso, tais como a segregao
de funes e do uso de senhas
4.4.4 Descrever os princpios de gesto de acesso
4.4.5 Descrever os conceitos de identificao, autenticao e autorizao
4.4.6 Explicar a importncia para uma organizao de um bem montado
Gerenciamento da Continuidade de Negcios
4.4.7 Tornar clara a importncia da realizao de exerccios

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

10 10

5.

Legislao e regulamentao (10%)

5.1

Legislao e regulamentos (10%)

O candidato entende a importncia e os efeitos da legislao e
regulamentaes.
O candidato capaz de:
5.1.1 Explicar porque a legislao e as regulamentaes so importantes para
a confiabilidade da informao
5.1.2 Dar exemplos de legislao relacionada segurana da informao
5.1.3 Dar exemplos de regulamentos relacionados segurana da informao
5.1.4 Indicar as medidas possveis que podem ser tomadas para cumprir as
exigncias da legislao e regulamentao

Justificativa de escolhas
Requisitos para o exame: justificativa da distribuio de peso.
As medidas de segurana so, para a maioria do pessoal, os primeiros aspectos de
Segurana da Informao que essas pessoas encontram. Conseqentemente, as
medidas so fundamentais para o mdulo e tm o maior peso. A seguir, ameaas e
riscos em termos de peso. Finalmente, a percepo da poltica, organizao e
legislao e regulamentao na rea de Segurana da Informao so necessrias
para compreender a importncia das medidas de Segurana da Informao.

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

11 11

3 Lista de conceitos bsicos

Este captulo contm os termos com os quais os candidatos devem mostrar
familiaridade.
Os termos esto listados em ordem alfabtica.

Ameaa
Anlise da Informao
Anlise de Risco
Anlise de risco qualitativa
Anlise quantitativa de risco
Arquitetura da Informao
Assinatura Digital
Ativo
Auditoria
Autenticao
Autenticidade
Autorizao
Avaliao de Riscos (anlise de
dependncia e vulnerabilidade)
Backup (Cpia de segurana)
Biometria
Botnet
Categoria
Certificado
Chave
Ciclo de Incidentes
Classificao
Cdigo de boas prticas de
segurana da informao
(ISO/IEC 27002:2005)
Cdigo de conduta
Completeza
Confiabilidade das informaes
Confidencialidade
Conformidade
Continuidade
Controle de Acesso
Corretiva
Criptografia
Dados
Danos
Danos diretos
Danos indiretos
Desastre
Detectiva
Disponibilidade

Threat
Information analysis
Risk Analysis
Qualitative risk analysis
Quantitative risk analysis
Information Architecture
Digital Signature
Asset
Audit
Authentication
Authenticity
Authorization
Risk Assessment (Dependency &
Vulnerability analysis)
Backup
Biometrics
Botnet
Category
Certificate
Key
Incident Cycle
Classification
Code of practice for information
security (ISO/IEC 27002:2005)
Code of conduct
Completeness
Reliability of information
Confidentiality
Compliance
Continuity
Access Control
Corrective
Encryption
Data
Damage
Direct damage
Indirect damage
Disaster
Detective
Availability

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

12 12

Engenharia Social
Escalao
Escalao funcional
Escalao hierrquica
Estratgia de Risco
Reter riscos
Evitar riscos
Reduo de riscos
Exatido
Exclusividade
Fator de produo
Firewall pessoal
Fornecedor Ininterrupto de
Energia (UPS-Uninterruptible
Power Supply)
Gerenciamento da Continuidade
de Negcios (GCN)
Gerenciamento da Informao
Gerenciamento da Mudana
Gerenciamento de acesso lgico
Gerenciamento de riscos
Hacking
Hoax
Identificao
Impacto
Incidente de Segurana
Informao
Infra-estrutura
Infra-estrutura de chave pblica
(ICP)
Integridade
Interferncia
ISO/IEC 27001:2005
ISO/IEC 27002:2005
Legislao de direitos autorais
Legislao sobre Crimes de
Informtica
Legislao sobre proteo de
dados pessoais
Legislao sobre registros
pblicos
Malware
Medida de segurana
Meio de armazenamento
No-repdio
Oportunidade
Organizao de Segurana
Patch
Phishing
Plano de Continuidade de
Negcios (PCN)

Social Engineering
Escalation
Functional escalation
Hierarchical escalation
Risk Strategy
Risk bearing
Risk avoiding
Risk reduction
Correctness
Exclusivity
Production factor
Personal Firewall
Uninterruptible power supply
(UPS)

Business Continuity Management

(BCM)
Information management
Change Management
Logical Access Management
Risk Management
Hacking
Hoax
Identification
Impact
Security incident
Information
Infrastructure
Public Key Infrastructure (PKI)

Integrity
Interference
ISO/IEC 27001:2005
ISO/IEC 27002:2005
Copyright legislation
Computer criminality legislation

Personal data protection

legislation
Public records legislation

Malware
Security measure
Storage Medium
Non-repudiation
Opportunity
Security organization
Patch
Phishing
Business Continuity Plan (BCP)

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

13 13

Plano de Recuperao de
Desastre (PRD)
Poltica de mesa limpa
Poltica de Privacidade
Poltica de Segurana
Porta de Manuteno
Preciso
Preventiva
Prioridade
Rede privada virtual (RPV)
Redutiva
Regulamentao de segurana
para informaes especiais p/ o
governo
Regulamentao de Segurana
para o governo
Repressiva
Risco
Robustez
Rootkit
Segregao de funes
Sistema de Informao
Spam
Spyware
Stand-by
Trojan
Urgncia
Validao
Verificao
Vrus
Vulnerabilidade
Worm

Disaster Recovery Plan (DRP)

Clear desk policy

Privacy policy
Security policy
Maintenance door
Precision
Preventive
Priority
Virtual Private Network (VPN)
Reductive
Security regulations for special
information for the government

Security regulations for the

government
Repressive
Risk
Robustness
Rootkit
Segregation of duties
Information system
Spam
Spyware
Stand-by arrangement
Trojan
Urgency
Validation
Verification
Virus
Vulnerability
Worm

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

14 14

4 Literatura
Literatura de Suporte para o Exame
A

Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H.

Foundations of Information Security Based on ISO27001 and ISO27002
Van Haren Publishing, 2010
ISBN 978 90 8753 568 1

Viso geral da literatura

Especificao do
exame
1.1

Literatura
A:

Captulo 4

1.2

A:

Captulo 4

1.3

A:

Captulo 4

2.1

A:

Captulo 5

2.2

A:

Captulo 5

3.1

A:

Captulo 9

3.2

A:

6.2, 6.4, Captulo 9

3.3

A:

Captulo 6

4.1

A:

Captulo 5, Captulo 6

4.2

A:

Captulo 7

4.3

A:

Captulo 8, 10

4.4

A:

Captulo 9, 10

5.1

A:

Captulo 11

Guia de Elaborao de Documentos Fundamentos da Segurana da Informao

baseado na norma ISO/IEC 27002 (ISFS.PR)

15 15

Contato EXIN
www.exin-exams.com