Guia de Preparao

EXIN Fundamentos
de Segurana da
Informao

baseado na norma
ISO/IEC 27002
Edio Fevereiro 2013

Copyright 201

3 EXIN

All rights reserved. No part of this publication may be published,

reproduced, copied or stored in a data processing system or
circulated in any form by print, photo print, microfilm or any other
means without written permission by EXIN.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

2 2

Contedo
1
2
3
4

Viso Geral

Requisitos do exame

Lista de conceitos bsicos

Literatura

4
7
12
15

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

3 3

1 Viso Geral
EXIN Fundamentos de Segurana da Informao baseado na normaISO/IEC
27002 (ISFS.PR)
Resumo
Os Guias de Preparao so desenhados para auxiliar provedores de
treinamentos a desenvolver cursos e materiais didticos que atendam aos
requisitos do EXIN.
O principal objetivo do Guia identificar os assuntos tratados no exame, os
requisitos e especificaes do exame e o pblico-alvo para apoiar o
desenvolvimento de novos cursos de alta qualidade.
A segurana da informao a proteo das informaes de uma grande
variedade de ameaas com o objetivo de assegurar a continuidade do negcio,
minimizar o risco do negcio e maximizar o retorno sobre os investimentos e as
oportunidades de negcios. (Definio da norma ISO/IEC 27002)
A segurana das informaes vem ganhando importncia no mundo da Tecnologia
da Informao (TI). A globalizao da economia est gerando uma troca cada vez
maior de informaes entre as organizaes (seus funcionrios, clientes e
fornecedores) bem como uma exploso no uso de computadores em rede e
dispositivos de informtica.
A norma internacional, o Cdigo de Prtica para Segurana da Informao
ISO/IEC 27002:2005, uma norma amplamente respeitada e consultada e fornece
uma estrutura para a organizao e o gerenciamento de um programa de
segurana das informaes. A implementao de um programa com base nesta
norma ser muito til para o objetivo de uma organizao de atender a muitas das
necessidades apresentadas no complexo ambiente operacional da atualidade.
Uma compreenso categrica desta norma importante para o desenvolvimento
pessoal de todos os profissionais de segurana das informaes.
Nos mdulos de Segurana da Informao do EXIN, utiliza-se a seguinte definio:
A Segurana da Informao lida com a definio, a implementao, a manuteno,
a conformidade e a avaliao de um conjunto coerente de controles (medidas) que
garantam a disponibilidade, a integridade e a confidencialidade da fonte de
informaes (manual e automtica).
No mdulo Fundamentos de Segurana da Informao do EXIN baseado na norma
ISO/IEC 27002 so testados os conceitos bsicos de segurana da informao e
suas relaes. Um dos objetivos desse mdulo aumentar a conscientizao de
que as informaes so valiosas e vulnerveis e aprender quais medidas so
necessrias para proteg-las.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

4 4

Os tpicos para este mdulo so:

Informao e segurana: os conceitos, o valor da informao e da importncia

da confiabilidade.

Ameaas e riscos: a relao entre as ameaas e confiabilidade.

Abordagem e organizao: a poltica de segurana e estabelecimento da
Segurana da Informao.
Medidas: fsica, tcnica e organizacional.

Legislao e regulamentao: a importncia e funcionamento.

Contexto

Programa de qualificao

O Certificado de Gerenciamento Avanado de Segurana da Informao baseado na

ISO/IEC 27002 segue o Certificado de EXIN Fundamentos de Segurana da
Informao baseados na ISO/IEC 27002.
O certificado em Fundamentos de Segurana da Informao do EXIN baseado na
norma ISO/IEC 27002 faz parte do programa de qualificao em Segurana da
Informao. O mdulo seguido pelos certificados de G erenciamento de
Segurana da Informao Avanado do EXIN baseado na norma ISO/IEC 27002 e
Gerenciamento de Segurana da Informao Especializado do EXIN baseado na
norma ISO/IEC 27002.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

5 5

Pb
Qualquer pessoa na organizao que manuseia informaes. tambm aplicvel a
proprietrios de pequenas empresas a quem alguns conceitos bsicos de Segurana
da Informao so necessrios. Este mdulo pode ser um excelente ponto de partida
para novos profissionais de segurana da informao.
lico-alvo

Pr

-requisitos

Nenhum

Formato do exame

Exame com questes de mltipla escolha

Estimativa de Tempo de Estudo
60 horas

Exerccio prtico
No aplicvel
Tempo destinado ao exame
60minutos

Detalhes do exame

Nmero de questes:
Mnimo para aprovao:

40
65 % (26 de 4 0)

no
no

Com consulta:

Equipamentos eletrnicos permitidos:

Exemplos de questes
Voc pode fazer o download do simulado e se preparar melhor para o exame
acessando http://www.exin.com

Curso
Quantidade de alunos em classe
O

nmero mximo de alunos em sala

25.

(Isso no aplicvel nos casos de ensino distncia / CBT - computer based

training/e-learning)

Horas de contato

O nmero mnimo de horas de contato durante o curso de

atividades em grupo, preparao para o exame, e coffee breaks, mas no inclui
tarefas de casa, preparao da logstica de exame e horrio de almoo.

7 horas. Isso inclui as

Provedores de Treinamento
A lista das empresas credenciadas para ministrar este e ou tros treinamentos do
Exin encontra-se no nosso site: http://www.exin.com .

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

6 6

2 Requisitos do exame
Os requisitos do exame so os principais temas de um mdulo. O candidato deve
domnio
requisitos do exame so elaborados
na especificao do exame.
ter o

completo sobre estes temas. Os

Requisitos de exame

1 Informao e segurana

Especificao de exame

(% )

1.1 O conceito de informao

1.2 Valor da informao
1.3 Aspectos de confiabilidade

Ameaas e riscos

3 Abordagem e organizao

2.1 Ameaas e riscos

2.2 Relacionamento entre ameaas,
riscos e confiabilidade da informao
3.1 Poltica de segurana e
organizao de segurana
3.2 Componentes da organizao da
segurana
3.3 Gerenciamento de incidentes

4 Medidas

4.1 Importncia de medidas de

segurana
4.2 Medidas fsicas
4.3 Medidas tcnicas
4.4 Medidas organizacionais

5 Legislao e regulamentao
5.1 Legislao e regulamentao
Total

Peso

10
2.5
2.5
5

30
15
15

10
2.5

2.5

40
10

10
10
10

10
10

100

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

7 7

Requisitos e especificaes do exame

1.

Informao e Segurana (10%)

1.1

O conceito de informao (2,5%)

O candidato entende o conceito de informao.
O candidato capaz de:
1.1.1 Explicar a diferena entre os dados e informaes
1.1.2 Descrever o meio de armazenamento que faz parte da
infraestruturabsica

1.2

Valor da informao (2,5%)

O candidato entende o valor da informao para as organizaes.
O candidato capaz de:
1.2.1 Descrever o valor de dados / informao para as organizaes
1.2.2 Descrever como o valor de dados / informaes pode influenciar as
organizaes
1.2.3 Explicar como conceitos aplicados de segurana

de informaes

protegem o valor de dados / informaes

1.3

Aspectos de confiabilidade (5%)

O candidato conhece os aspectos de confiabilidade (confidencialidade,
integridade, disponibilidade) da informao.
O candidato capaz de:
1.3.1 Nome dos aspectos de confiabilidade da informao
1.3.2 Descrever os aspectos de confiabilidade da informao

2.

Ameaas e riscos (30%)

2.1

Ameaa e risco (15%)

O candidato compreende os conceitos de ameaa e risco.
O candidato capaz de:
2.1.1 Explicar os conceitos de ameaa, de risco e anlise de risco
2.1.2 Explicar a relao entre uma ameaa e um risco
2.1.3 Descreva os vrios tipos de ameaas
2.1.4 Descreva os vrios tipos de danos
2.1.5 Descrever diferentes estratgias de risco

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

8 8

2.2

Relacionamento entre ameaas, riscos e confiabilidade das informaes.

(15%)

O candidato compreende a relao entre as ameaas, riscos e confiabilidade

das informaes.
O candidato capaz de:
2.2.1 Reconhecer exemplos dos diversos tipos de ameaas

2.2.2 Descrever os efeitos que os vrios tipos de ameaas tm sobre a

informao e ao tratamento das informaes

3.

Abordagem e

3.1

Poltica de Segurana e organizao de segurana (2,5%)

Organizao (10%)

O candidato tem conhecimento da poltica de segurana e conceitos de

organizao de segurana.
O candidato capaz de:
3.1.1 enunciar os objetivos e o contedo de uma poltica de segurana
3.1.2 enunciar os objetivos e o contedo de uma organizao de segurana

3.2

Componentes da organizao da segurana (2,5%)

O candidato conhece as vrias componentes da organizao da segurana.
O candidato capaz de:

3.2.1 Explicar a importncia de um cdigo de conduta

3.2.2 Explicar a importncia da propriedade
3.2.3 Nomear os mais importantes na organizao da segurana da informao

3.3

Gerenciamento de Incidentes (5%)

O candidato compreende a importncia da gesto de incidentes e es

caladas.

O candidato capaz de:

3.3.1 Resumir como incidentes de segurana so comunicados e as

informaes que so necessrias
3.3.2 Dar exemplos de incidentes de segurana

3.3.3 Explicar as consequncias da no notificao de incidentes de segurana

3.3.4 Explicar o que implica uma escalada (funcional e hierrquico)
3.3.5 Descrever os efeitos da escalada dentro da organizao

3.3.6 Explicar o ciclo do incidente

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

9 9

4.
4.1

Medidas (40%)
Importncia das medidas de segurana (10%)
O candidato entende a importncia de medidas de segurana.
O candidato capaz de:
4.1.1 Descrever as maneiras pelas quais as medidas de segurana podem ser

estruturadas ou organizadas
4.1.2 Dar exemplos de cada tipo de medida de segurana

4.1.3 Explicar a relao entre os riscos e medidas de segurana

4.1.4 Explicar o objetivo da classificao das informaes
4.1.5 Descrever o efeito da classificao

4.2

Medidas de segurana fsica (10%)

O candidato tem conhecimento tanto da criao e execuo de medidas de
segurana fsica.
O candidato capaz de:
4.2.1 Dar exemplos de medidas de segurana fsica
4.2.2 Descrever os riscos envolvidos com insuficientes medidas de segurana
fsica

4.3

M edidas de ordem

tcnica (10%)

O candidato tem conhecimento tanto da criao quanto da execuo de

medidas de segurana tcnica.
O candidato capaz de:
4.3.1 Dar exemplos de medidas de segurana tcnica

4.3.2 Descrever os riscos envolvidos com insuficie ntes medidas de segurana

tcnica

4.3.3 Compreender os conceitos de criptografia, assinatura digital e certificado

4.3.4 Nome das trs etapas para a banca online (PC, web site, pagamento)
4.3.5 Nomear vrios tipos de software malicioso

4.3.6 Descrever as medidas que podem ser usadas contra software malicioso
4.4

Medidas organizacionais (10%)

O candidato tem conhecimento tanto da criao quanto da execuo de
medidas de segurana organizacional.
O candidato capaz de:
4.4.1 Dar exemplos de medidas de segurana organizacional

4.4.2 Descrever os perigos e riscos envolvidos com insuficientes medidas de

segurana organizacional
4.4.3 Descrever as medidas de segurana de acesso, tais como a segregao
de funes e do uso de senhas
4.4.4 Descrever os princpios de gesto de acesso
4.4.5 Descrever os conceitos de identificao, autenticao e autorizao
4.4.6 Explicar a importncia para uma organizao de um bem montado
Gerenciamento da Continuidade de Negcios
4.4.7 Tornar clara a importncia da realizao de exerccios

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

10 10

5.
5.1

Legislao e regulamentao (10%)

Legislao e regulamentos (10%)

O candidato entende a importncia e os efeitos da legislao e
regulamentaes.
O candidato capaz de:

5.1.1 Explicar porque a legislao e as regulamentaes so importantes para

a confiabilidade da informao
5.1.2 Dar exemplos de legislao relacionada segurana da informao
5.1.3 Dar exemplos de regulamentos relacionados segurana da informao
5.1.4 Indicar as medidas possveis que podem ser tomadas para cumprir as
exigncias da legislao e regulamentao

Justificativa de escolhas
Requisitos para o exame: justificativa da distribuio de peso.
As medidas de segurana so, para a maioria do pessoal, os primeiros aspectos de
Segurana da Informao que essas pessoas encontram.

Consequentemente, as

medidas so fundamentais para o mdulo e tm o maior peso. A seguir, ameaas e

riscos em termos de peso. Finalmente, a percepo da poltica, organizao e
legislao e regulamentao na rea de Segurana da Informao so necessrias
para compreender a importncia das medidas de Segurana da Informao.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

11 11

3 Lista de conceitos bsicos

Este captulo contm os termos com os quais os candidatos devem mostrar
familiaridade.

Os termos esto listados em ordem alfabtica .

Ameaa
Anlise da Informao
Anlise de Risco
Anlise de risco qualitativa
Anlise quantitativa de risco
Arquitetura da Informao
Assinatura Digital
Ativo
Auditoria
Autenticao
Autenticidade
Autorizao
Avaliao de Riscos (anlise de

dependncia e vulnerabilidade)

Backup (Cpia de segurana)

Biometria
Botnet
Categoria
Certificado
Chave
Ciclo de Incidentes
Classificao
Cdigo de boas prticas de

Threat
Information analysis
Risk Analysis
Qualitative risk analysis
Quantitative risk analysis
Information Architecture
Digital Signature
Asset
Audit
Authentication
Authenticity
Authorization
Risk Assessment (Dependency &
Vulnerability analysis)

segurana da informao

Backup
Biometrics
Botnet
Category
Certificate
Key
Incident Cycle
Classification
Code of practice for information
security (ISO/IEC 27002:2005)

(ISO/IEC 27002:2005)

Cdigo de conduta
Completeza
Confiabilidade das informaes
Confidencialidade
Conformidade
Continuidade
Medidas
Controle de Acesso
Corretiva
Criptografia
Dados
Danos

Danos diretos

Desastre
Detectiva

Completeness
Reliability of information
Confidentiality
Compliance
Continuity
Controls
Access Control
Corrective
Encryption
Data
Damage
Direct damage

Danos indiretos

Code of conduct

Indirect damage

Disaster
Detective

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

12 12

Disponibilidade
Engenharia Social
Escalao

Escalao funcional
Escalao hierrquica

Estratgia de Risco

Exatido

Reter riscos
Evitar riscos

Reduo de riscos

Exclusividade
Fator de produo

Firewall pessoal
Fornecedor Ininterrupto de
Energia (UPS-Uninterruptible
Power Supply)
Gerenciamento da Continuidade

Business Continuity Management

(BCM)
Information management
Change Management
Logical Access Management
Risk Management
Hacking
Hoax
Identification
Impact
Security incident
Information
Infrastructure
Public Key Infrastructure (PKI)

Integrity
Interference
ISO/IEC 27001:2005
ISO/IEC 27002:2005
Copyright legislation
Computer criminality legislation

de Negcios (GCN)

Gerenciamento da Informao
Gerenciamento da Mudana
Gerenciamento de acesso lgico

Gerenciamento de riscos
Hacking
Hoax
Identificao

Impacto

Incidente de Segurana
Informao

Infraestrutura
Infraestrutura de chave pblica

(ICP)
Integridade

Interferncia

ISO/IEC 27001:2005
ISO/IEC 27002:2005
Legislao de direitos autorais
Legislao sobre Crimes de

Availability
Social Engineering
Escalation
Functional escalation
Hierarchical escalation
Risk Strategy
Risk bearing
Risk avoiding
Risk reduction
Correctness
Exclusivity
Production factor
Personal Firewall
Uninterruptible power
supply(UPS)

Informtica

Legislao sobre proteo de

Legislao sobre registros

Personal data protection

legislation
Public records legislation

Malware
Security measure
Storage Medium
Non-repudiation
Opportunity
Security organization
Patch
Phishing

dados pessoais
pblicos

Malware
Medida de segurana

Meio de armazenamento
Oportunidade
No repdio

Organizao de Segurana

Patch
Phishing

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

13 13

Plano de Continuidade de

Business Continuity Plan (BCP)

Negcios (PCN)

Plano de Recuperao de

Disaster Recovery Plan (DRP)

Poltica de mesa limpa

Clear desk policy

Privacy policy
Security policy
Maintenance door
Precision
Preventive
Priority
Virtual Private Network (VPN)
Reductive
Security regulations for special
information for the government

Desastre (PRD)

Poltica de Privacidade
Poltica de Segurana
Porta de Manuteno
Preciso

Preventiva
Prioridade
Rede privada virtual (RPV)
Redutiva
Regulamentao de segurana
para informaes especiais p/ o

governo

Regulamentao de Segurana

para o governo
Repressiva
Risco
Robustez
Rootkit

Segregao de funes
Sistema de Informao

Spam
Spyware
Stand-by
Trojan
Urgncia

Validao
Verificao
Vrus

Vulnerabilidade
Worm

Security regulations for the

government
Repressive
Risk
Robustness
Rootkit
Segregation of duties
Information system
Spam
Spyware
Stand-by arrangement
Trojan
Urgency
Validation
Verification
Virus
Vulnerability
Worm

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

14 14

4 Literatura
Literatura de Suporte para o Exame
A

Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H.

Foundations ofInformation Security Based on ISO27001 and ISO27002
Van Haren Publishing, 2010
ISBN 978 90 8753 568 1
eBook ISBN 978 90 87 53 624 3

Viso geral da literatura

Especificao do

exame
1.1

Literatura
A:

Captulo 3, Captulo 4

1.2

A:

Captulo 4

1.3

A:

Captulo 4

2.1

A:

Captulo 5

2.2

A:

Captulo 5

3.1

A:

Captulo 9

3.2

A:

6.2, 6.4, Captulo 9

3.3

A:

Captulo 6

4.1

A:

Captulo 5, Captulo 6

4.2

A:

Captulo 7

4.3

A:

Captulo 8, Captulo 10

4.4

A:

Captulo 9, Captulo 10

5.1

A:

Captulo 11

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na normaISO/IEC 27002 (ISFS.PR)

15 15

Contato EXIN
www.exin.com