Você está na página 1de 58

TRT/13 (Cargo: An Jud TI) Segurana da

Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

AULA 00: Normas NBR ISO/IEC: n 27001:2006, n


27002:2005, n 27005 e n 15999; gerncia de riscos;
classificao e controle dos ativos de informao; controles
de acesso fsico e lgico; plano de continuidade de negcio
(plano de contingncia e de recuperao de desastres).
(Parte 1)
Sumrio
1.

Apresentao do curso. ...................................................................................................... 4

1.1. A Banca. .............................................................................................................................. 5


1.2. Metodologia das aulas. ....................................................................................................... 5
2.

Contedo programtico e planejamento das aulas (Cronograma) .................................... 5

3.

Introduo........................................................................................................................... 8

3.1. Geral .................................................................................................................................... 8


3.2. Abordagem de processo ..................................................................................................... 8
3.3. Compatibilidade com outros sistemas de gesto ............................................................. 11
4.

Objetivo............................................................................................................................. 14

4.1. Geral .................................................................................................................................. 14


4.2. Aplicao ........................................................................................................................... 14
5.

Referncia normativa ....................................................................................................... 16

6.

Termos e definies .......................................................................................................... 16

6.1. Ativo .................................................................................................................................. 16


6.2. Disponibilidade ................................................................................................................. 16
6.3. Confidencialidade ............................................................................................................. 16
www.tiparaconcursos.net

Pgina 1 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
6.4. Segurana da informao ................................................................................................. 16
6.5. Evento de segurana da informao ................................................................................ 16
6.6. Incidente de segurana da informao ............................................................................ 17
6.7. Sistema de gesto da segurana da informao SGSI ...................................................... 17
6.8. Integridade........................................................................................................................ 17
6.9. Risco residual .................................................................................................................... 17
6.10.

Aceitao do risco ..................................................................................................... 17

6.11.

Anlise de riscos ........................................................................................................ 17

6.12.

Anlise/avaliao de riscos ....................................................................................... 17

6.13.

Avaliao de riscos .................................................................................................... 18

6.14.

Gesto de riscos ........................................................................................................ 18

6.15.

Tratamento do risco .................................................................................................. 18

6.16.

Declarao de aplicabilidade..................................................................................... 18

7.

Sistema de gesto de segurana da informao .............................................................. 19

7.1. Requisitos gerais ............................................................................................................... 19


7.2. Estabelecendo e gerenciando o SGSI................................................................................ 20
7.2.1.

Estabelecer o SGSI ..................................................................................................... 20

7.2.2.

Implementar e operar o SGSI .................................................................................... 23

7.2.3.

Monitorar e analisar criticamente o SGSI ................................................................. 24

7.2.4.

Manter e melhorar o SGSI ......................................................................................... 25

7.3. Requisitos de documentao ........................................................................................... 28


7.3.1.

Geral .......................................................................................................................... 28

7.3.2.

Controle de documentos........................................................................................... 29

7.3.3.

Controle de registros ................................................................................................. 30

8.

Responsabilidades da direo .......................................................................................... 30

www.tiparaconcursos.net

Pgina 2 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
8.1. Comprometimento da direo ......................................................................................... 31
8.2. Gesto de recursos ........................................................................................................... 31
8.2.1.

Proviso de recursos ................................................................................................. 31

8.2.2.

Treinamento, conscientizao e competncia ......................................................... 33

9.

Auditorias internas do SGSI .............................................................................................. 33

10. Anlise crtica do SGSI pela direo .................................................................................. 34


10.1.

Geral .......................................................................................................................... 34

10.2.

Entradas para a anlise crtica................................................................................... 34

10.3.

Sadas da anlise crtica ............................................................................................. 35

11. Melhoria do SGSI .............................................................................................................. 35


11.1.

Melhoria contnua ..................................................................................................... 36

11.2.

Ao corretiva ........................................................................................................... 36

11.3.

Ao preventiva......................................................................................................... 36

12. Anexo A (normativo) ......................................................................................................... 37


13. Anexo B (informativo) ....................................................................................................... 53
14. Anexo C (informativo) ....................................................................................................... 54
15. Lista das Questes Utilizadas na Aula. ............................................................................. 56
16. Gabarito. ........................................................................................................................... 58

Caros alunos,
Para iniciarmos nossa aula de demonstrao, falarei um pouco sobre mim. Sou
Servidor Pblico Federal a mais de dezoito anos, onde desempenhei vrias funes
relacionadas rea de TI. Nos ltimos seis anos, trabalho na administrao, controle e
segurana de usurios lotados em sessenta e quatro Unidades Gestoras sediadas nos
estados do Rio de Janeiro e Esprito Santo, totalizando mais de cinco mil usurios de
diversos sistemas utilizados pela esfera federal, tais como: SIAFI, SIAFI Web, SIAFI Gerencial,
www.tiparaconcursos.net

Pgina 3 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
SIAFI Educacional, SIASG, SIASG Treino, entre outros. Minha formao acadmica teve incio
em 1996 quando terminei a Graduao em Matemtica pela UERJ - Universidade Estadual
do Rio de Janeiro, prossegui em 2000, com o Bacharelado em Cincias da Computao pela
UGF - Universidade Gama Filho. Nos ltimos doze anos, realizei trs cursos de PsGraduao: Docncia do Ensino Superior pela UFRJ - Universidade Federal do Rio de
Janeiro, Gesto Estratgica e Negcios pela USP - Universidade de So Paulo e Criptografia e
Segurana em Redes pela UFF - Universidade Federal Fluminense. Sou tambm certificado
PMP, Cobit e Itil.
Venho trabalhando como professor desde 2003 na preparao do profissional de TI
para concursos pblicos (BNDES, Petrobras e subsidirias, BACEN, TCU, SUSEP, Tribunais,
Ministrios Pblicos, Receita Federal, entre outros) e na preparao para os cargos de
Engenharia (BNDES e Petrobras), nos cursos preparatrios para concursos presenciais e
telepresenciais: Academia do Concurso, ACP-SAT, Curso Gabarito, CEAV Concursos, CEGM,
Curso Cefis, Curso Debret, Curso Multiplus, Curso Pla, Canal dos Concursos, Eu vou Passar,
entre outros.

1. Apresentao do curso.
Nosso curso ter como foco atender a necessidade do concurseiro que ir fazer a
prova do TRT 13 Regio/PB e precisa ter conhecimento sobre o contedo referente ao
tpico Segurana da Informao, conforme abaixo descrito:
Segurana da Informao: normas NBR ISO/IEC: n 27001:2006, n 27002:2005, n
27005 e n 15999; Noes sobre poltica de backup: sistemas de cpia de segurana: tipos e
meios de armazenamento; vrus de computador e outros malwares (cavalos de troia,
adware, spyware, backdoors, keyloggers, worms, bots, botnets, rootkits); ataques e
protees relativos a hardware, software, sistemas operacionais, aplicaes, bancos de
dados, redes, pessoas e ambiente fsico; cartilha de segurana para internet do CERT.BR;
gerncia de riscos; classificao e controle dos ativos de informao; controles de acesso
fsico e lgico; plano de continuidade de negcio (plano de contingncia e de recuperao
de desastres); segurana de redes: Firewall, Sistemas de Preveno de Intruso (IPS),
antivrus, NAT, VPN, monitoramento e anlise de trfego; uso de sniffers; traffic shaping;
www.tiparaconcursos.net

Pgina 4 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
trfego de dados de servios e programas usados na Internet; segurana de redes sem fio:
EAP, WEP, WPA, WPA2; ataques e ameaas da Internet e de redes sem fio; criptografia;
conceitos bsicos de criptografia; sistemas criptogrficos simtricos e de chave pblica;
ICPBrasil, certificao e assinatura digital; caractersticas dos principais protocolos.

1.1. A Banca.
A Fundao Carlos Chagas uma banca com grande experincia em provas de
concursos pblicos que tratem das disciplinas de TI, s no ano de 2013, foram mais de uma
dezena de concursos organizados.

1.2. Metodologia das aulas.


Teremos aulas expositivas, descritivas e descontradas com aproximadamente 40
pginas por aula, as quais podero variar em quantidade, dependendo do assunto tratado e
da abordagem oferecida, mas tentando sempre manter tal mdia. Fiquem tranquilos,
normalmente acabamos as aulas em muito mais que isso, pois no gosto de economizar no
contedo que cobrado nas provas dos senhores.
Todas as aulas tero uma introduo terica, abrangendo os assuntos tratados, e
uma bateria de exerccios comentados, para fixao do contedo e aprendizado do estilo da
banca.
Abordarei os assuntos desde o bsico at o avanado, para que o aluno iniciante
tenha conhecimento e contato inicial com os tpicos tratados, e o aluno mais experiente
possa se aprofundar atravs da resoluo de questes.
A aplicao dos exerccios poder variar de aula pra aula, de acordo com a
proporo dos assuntos cobrados em questes de provas anteriores.

2. Contedo programtico e planejamento das aulas (Cronograma)


O Contedo programtico est distribudo de forma que, mesmo quem nunca teve
contato com o assunto, possa compreender o contexto da disciplina e a forma com que ela
abordada pela banca.

www.tiparaconcursos.net

Pgina 5 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
Pretendo sempre trabalhar os assuntos conforme o nvel da banca, por isso, tudo
que coloco nas aulas cai ou que pode cair na prova.

Aula

Contedo a ser trabalhado


Normas NBR ISO/IEC: n 27001:2006, n 27002:2005, n 27005 e n

Aula

15999; gerncia de riscos; classificao e controle dos ativos de

Demonstrativa

informao; controles de acesso fsico e lgico; plano de continuidade

10/05/2014

de negcio (plano de contingncia e de recuperao de desastres).


(Parte 1)
Normas NBR ISO/IEC: n 27001:2006, n 27002:2005, n 27005 e n

Aula 1

15999; gerncia de riscos; classificao e controle dos ativos de

17/05/2014

informao; controles de acesso fsico e lgico; plano de continuidade


de negcio (plano de contingncia e de recuperao de desastres).
(Parte 2)
Normas NBR ISO/IEC: n 27001:2006, n 27002:2005, n 27005 e n

Aula 2

15999; gerncia de riscos; classificao e controle dos ativos de

24/05/2014

informao; controles de acesso fsico e lgico; plano de continuidade


de negcio (plano de contingncia e de recuperao de desastres).
(Parte 3)
Normas NBR ISO/IEC: n 27001:2006, n 27002:2005, n 27005 e n

Aula 3

15999; gerncia de riscos; classificao e controle dos ativos de

31/05/2014

informao; controles de acesso fsico e lgico; plano de continuidade


de negcio (plano de contingncia e de recuperao de desastres).
(Parte 4)
Normas NBR ISO/IEC: n 27001:2006, n 27002:2005, n 27005 e n

Aula 4

15999; gerncia de riscos; classificao e controle dos ativos de

07/06/2014

informao; controles de acesso fsico e lgico; plano de continuidade


de negcio (plano de contingncia e de recuperao de desastres).
(Parte 5)

Aula 5

Normas NBR ISO/IEC: n 27001:2006, n 27002:2005, n 27005 e n

www.tiparaconcursos.net

Pgina 6 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
14/06/2014

15999; gerncia de riscos; classificao e controle dos ativos de


informao; controles de acesso fsico e lgico; plano de continuidade
de negcio (plano de contingncia e de recuperao de desastres).
(Parte 6)
Normas NBR ISO/IEC: n 27001:2006, n 27002:2005, n 27005 e n

Aula 6

15999; gerncia de riscos; classificao e controle dos ativos de

21/06/2014

informao; controles de acesso fsico e lgico; plano de continuidade


de negcio (plano de contingncia e de recuperao de desastres).
(Parte 7)
Normas NBR ISO/IEC: n 27001:2006, n 27002:2005, n 27005 e n

Aula 7

15999; gerncia de riscos; classificao e controle dos ativos de

28/06/2014

informao; controles de acesso fsico e lgico; plano de continuidade


de negcio (plano de contingncia e de recuperao de desastres).
(Parte 8)

Aula 8
05/07/2014

Noes sobre poltica de backup: sistemas de cpia de segurana:


tipos e meios de armazenamento
Vrus de computador e outros malwares (cavalos de troia, adware,
spyware, backdoors, keyloggers, worms, bots, botnets, rootkits).

Aula 9
12/07/2014

Antivrus.
Ataques e protees relativos a hardware, software, sistemas
operacionais, aplicaes, bancos de dados, redes, pessoas e ambiente
fsico.
Cartilha de segurana para internet do CERT.BR.
Ataques e ameaas da Internet e de redes sem fio.
Segurana de redes: Firewall, Sistemas de Preveno de Intruso

Aula 10

(IPS), NAT, VPN, monitoramento e anlise de trfego; uso de sniffers;

17/07/2014

traffic shaping; trfego de dados de servios e programas usados na


Internet.
Segurana de redes sem fio: EAP, WEP, WPA, WPA2.

www.tiparaconcursos.net

Pgina 7 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
Aula 11
26/07/2014

Criptografia;

conceitos

bsicos

de

criptografia;

sistemas

criptogrficos simtricos e de chave pblica; ICPBrasil, certificao e


assinatura digital; caractersticas dos principais protocolos.

Nossa aula de hoje abordar os assuntos referentes NBR ISO/IEC 27001:2006.

3. Introduo
Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:

esperado que estes e os sistemas de apoio mudem com o passar do tempo.

3.1. Geral
Esta Norma foi preparada para prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de
Segurana da Informao (SGSI). Convm que a adoo de um SGSI seja uma deciso
estratgica para uma organizao. A especificao e a implementao do SGSI de uma
organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana,
processos empregados e tamanho e estrutura da organizao. esperado que estes e os
sistemas de apoio mudem com o passar do tempo. esperado que a implementao de um
SGSI seja escalada conforme as necessidades da organizao, por exemplo, uma situao
simples requer uma soluo de um SGSI simples.
Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas
internas e externas.

3.2. Abordagem de processo


Esta Norma promove a adoo de uma abordagem de processo para estabelecer e
implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma
organizao.
www.tiparaconcursos.net

Pgina 8 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
Uma organizao precisa identificar e gerenciar muitas atividades para funcionar
efetivamente. Qualquer atividade que faz uso de recursos e os gerencia para habilitar a
transformao de entradas em sadas pode ser considerada um processo. Frequentemente
a sada de um processo forma diretamente a entrada do processo seguinte.
A aplicao de um sistema de processos dentro de uma organizao, junto com a
identificao e interaes destes processos, e a sua gesto podem ser consideradas como
"abordagem de processo.
A abordagem de processo para a gesto da segurana da informao apresentada
nesta Norma encoraja que seus usurios enfatizem a importncia de:
a) entendimento dos requisitos de segurana da informao de uma organizao e
da necessidade de estabelecer uma poltica e objetivos para a segurana de informao;
b) implementao e operao de controles para gerenciar os riscos de segurana
da informao de uma organizao no contexto dos riscos de negcio globais da
organizao;
c) monitorao e anlise crtica do desempenho e eficcia do SGSI; e
d) melhoria contnua baseada em medies objetivas.
Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act (PDCA), que
aplicado para estruturar todos os processos do SGSI. A figura 1 ilustra como um SGSI
considera as entradas de requisitos de segurana de informao e as expectativas das partes
interessadas, e como as aes necessrias e processos de segurana da informao
produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 tambm
ilustra os vnculos nos processos apresentados nas sees 4, 5, 6, 7 e 8.
A adoo do modelo PDCA tambm refletir os princpios como definidos nas
Diretrizes da OECD (2002) para governar a segurana de sistemas de informao e redes.
Esta Norma prov um modelo robusto para implementar os princpios nessas diretrizes para
direcionar a anlise/avaliao de riscos, especificao e implementao de segurana,
gerenciamento de segurana e reavaliao.
EXEMPLO 1
Um requisito pode significar que violaes de segurana da informao no causem
srios danos financeiros e/ou constrangimentos organizao.
www.tiparaconcursos.net

Pgina 9 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
EXEMPLO 2
Uma expectativa pode significar que se um incidente grave ocorrer - por exemplo, a
invaso da pgina Internet de comrcio eletrnico de uma organizao - deveria haver
pessoas com treinamento suficiente nos procedimentos apropriados para minimizar o
impacto.

Figura 1 Modelo PDCA aplicado aos processos do SGSI

1. (FCC - 2011 - TRT - 14 Regio - RO e AC) Estabelecer a poltica, objetivos, processos e


procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da
informao para produzir resultados de acordo com as polticas e objetivos globais de uma
organizao. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta
definio pertence a
www.tiparaconcursos.net

Pgina 10 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
a) planejar.
b) agir.
c) fazer.
d) confidencializar.
e) checar.
Comentrio:
Observe a descrio do PDCA:

Segue um macete para ajudar a decorar:


EIOMAMM Estabelecer, Implementar e Operar, Monitorar e Avaliar criticamente, Manter
e Melhorar.
E IO MA MM
P D C

Gabarito: A

3.3. Compatibilidade com outros sistemas de gesto


Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004
para apoiar a implementao e a operao de forma consistente e integrada com normas de
gesto relacionadas. Um sistema de gesto adequadamente projetado pode, assim,
satisfazer os requisitos de todas estas normas. A tabela C.1 (abaixo) ilustra a relao entre
as sees desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004.
www.tiparaconcursos.net

Pgina 11 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 12 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

Esta Norma projetada para permitir a uma organizao alinhar ou integrar seu
SGSI com requisitos de sistemas de gesto relacionados.
IMPORTANTE - Esta publicao no tem o propsito de incluir todas as clusulas
necessrias a um contrato. Os usurios so responsveis pela sua correta aplicao.
www.tiparaconcursos.net

Pgina 13 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
Conformidade com esta Norma por si s no confere imunidade em relao s obrigaes
legais.

4. Objetivo
Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:

4.1. Geral
Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos
comerciais, agncias governamentais, organizaes sem fins lucrativos). Esta Norma
especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de
negcio globais da organizao. Ela especifica requisitos para a implementao de controles
de segurana personalizados para as necessidades individuais de organizaes ou suas
partes.
O SGSI projetado para assegurar a seleo de controles de segurana adequados
e proporcionados para proteger os ativos de informao e propiciar confiana s partes
interessadas.
NOTA 1 - Convm que referncias a negcio nesta Norma sejam interpretadas, de modo
geral, tendo em vista as atividades que so essenciais aos objetivos de existncia da
organizao.
NOTA 2 - A ABNT NBR ISO/IEC 17799:2005 prov orientao para implementao que pode
ser usada quando da especificao de controles.

4.2. Aplicao
Os requisitos definidos nesta Norma so genricos e pretendido que sejam
aplicveis a todas as organizaes, independentemente de tipo, tamanho e natureza. A
excluso de quaisquer dos requisitos especificados nas sees 4, 5, 6, 7, e 8 no aceitvel
quando uma organizao reivindica conformidade com esta Norma.
www.tiparaconcursos.net

Pgina 14 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
Qualquer excluso de controles considerada necessria para satisfazer os critrios
de aceitao de riscos precisa ser justificada e as evidncias de que os riscos associados
foram aceitos pelas pessoas responsveis precisam ser fornecidas. Onde quaisquer
controles sejam excludos, reivindicaes de conformidade a esta Norma no so aceitveis,
a menos que tais excluses no afetem a capacidade da organizao, e/ou responsabilidade
de prover segurana da informao que atenda os requisitos de segurana determinados
pela anlise/avaliao de riscos e por requisitos legais e regulamentares aplicveis.
NOTA - Se uma organizao j tiver um sistema de gesto de processo de negcio em
operao (por exemplo, em relao com a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001),
prefervel na maioria dos casos satisfazer os requisitos desta Norma dentro deste sistema
de gesto existente.

2. (FCC - 2011 - TRT - 4 REGIO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre
organizaes do tipo
a) comerciais, somente.
b) governamentais, somente.
c) sem fins lucrativos, somente.
d) comerciais e governamentais, somente.
e) comerciais, governamentais e sem fins lucrativos.
Comentrio:
Veja o item 1.2 (Aplicao) da ISO 27001:
Os requisitos definidos nesta Norma so genricos e pretendido que sejam aplicveis a
todas as organizaes, independentemente de tipo, tamanho e natureza. A excluso de
quaisquer dos requisitos especificados nas sees 4, 5, 6, 7, e 8 no aceitvel quando uma
organizao reivindica conformidade com esta Norma.
Gabarito: E

www.tiparaconcursos.net

Pgina 15 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

5. Referncia normativa
O documento a seguir referenciado indispensvel para a aplicao desta Norma.
Para referncia datada, aplica-se apenas a edio citada. Para referncia no datada, aplicase a ltima edio do documento referenciado (incluindo as emendas).
ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao - Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao.

6. Termos e definies
Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.

6.1. Ativo
Qualquer coisa que tenha valor para a organizao. [ISO/IEC 13335-1:2004]

6.2. Disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por uma entidade
autorizada. [ISO/IEC 13335-1:2004]

6.3. Confidencialidade
Propriedade de que a informao no esteja disponvel ou revelada a indivduos,
entidades ou processos no autorizados. [ISO/IEC 13335-1:2004]

6.4. Segurana da informao


Preservao da confidencialidade, integridade e disponibilidade da informao;
adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no
repdio e confiabilidade, podem tambm estar envolvidas. [ABNT NBR ISO/IEC 17799:2005]

6.5. Evento de segurana da informao


Uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando
uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma
situao previamente desconhecida, que possa ser relevante para a segurana da
informao. [ISO/IEC TR 18044:2004]
www.tiparaconcursos.net

Pgina 16 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

6.6. Incidente de segurana da informao


Um simples ou uma srie de eventos de segurana da informao indesejados ou
inesperados, que tenham uma grande probabilidade de comprometer as operaes do
negcio e ameaar a segurana da informao. [ISO/IEC TR 18044:2004]

6.7. Sistema de gesto da segurana da informao SGSI


A parte do sistema de gesto global, baseado na abordagem de riscos do negcio,
para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
a segurana da informao.
NOTA - O sistema de gesto inclui estrutura organizacional, polticas, atividades de
planejamento, responsabilidades, prticas, procedimentos, processos e recursos.

6.8. Integridade
Propriedade de salvaguarda da exatido e completeza de ativos. [ISO/IEC 133351:2004]

6.9. Risco residual


Risco remanescente aps o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005]

6.10. Aceitao do risco


Deciso de aceitar um risco. [ABNT ISO/IEC Guia 73:2005]

6.11. Anlise de riscos


Uso sistemtico de informaes para identificar fontes e estimar o risco. [ABNT
ISO/IEC Guia 73:2005]

6.12. Anlise/avaliao de riscos


Processo completo de anlise e avaliao de riscos. [ABNT ISO/IEC Guia 73:2005]

www.tiparaconcursos.net

Pgina 17 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

6.13. Avaliao de riscos


Processo de comparar o risco estimado com critrios de risco predefinidos para
determinar a importncia do risco. [ABNT ISO/IEC Guia 73:2005]

6.14. Gesto de riscos


Atividades coordenadas para direcionar e controlar uma organizao no que se
refere a riscos.
NOTA - A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de
riscos, a aceitao de riscos e a comunicao de riscos.
[ABNT ISO/IEC Guia 73:2005]

6.15. Tratamento do risco


Processo de seleo e implementao de medidas para modificar um risco. [ABNT
ISO/IEC Guia 73:2005]
NOTA - Nesta Norma o termo controle usado como um sinnimo para medida.

6.16. Declarao de aplicabilidade


Declarao documentada que descreve os objetivos de controle e controles que
so pertinentes e aplicveis ao SGSI da organizao.
NOTA - Os objetivos de controle e controles esto baseados nos resultados e concluses
dos processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou
regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a
segurana da informao.

3. (FCC - 2011 - TRT - 1 REGIO (RJ) De acordo com a NBR ISO/IEC 27001, integridade
a) a propriedade de a informao estar acessvel e utilizvel sob demanda por uma
entidade autorizada.
b) a propriedade de que a informao no esteja disponvel ou revelada a indivduos,
entidades ou processos no autorizados.
www.tiparaconcursos.net

Pgina 18 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
c) a possvel violao da poltica de segurana da informao ou falha de controles.
d) a propriedade de salvaguarda da exatido e completeza de ativos.
e) qualquer coisa que tenha valor para a organizao.
Comentrio:
Observe o trecho da ISO 27001:
3. Termos e definies
3.8 Integridade
Propriedade de salvaguarda (Proteo concedida por uma autoridade) da exatido e
completeza (Algo que mantm a integridade preservada) de ativos.
As alternativas trazem as definies de:
Letra a) Disponibilidade.
Letra b) Confidencialidade.
Letra c) Evento
Letra d) Integridade
Letra e) Ativo.
Gabarito: D

7. Sistema de gesto de segurana da informao


Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:

7.1. Requisitos gerais


A organizao deve estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades
www.tiparaconcursos.net

Pgina 19 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
de negcio globais da organizao e os riscos que ela enfrenta. Para os efeitos desta Norma,
o processo usado est baseado no modelo de PDCA mostrado na figura 1.

7.2. Estabelecendo e gerenciando o SGSI


7.2.1. Estabelecer o SGSI
A organizao deve:
a) Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a
organizao, sua localizao, ativos e tecnologia, incluindo detalhes e justificativas para
quaisquer excluses do escopo;
b) Definir uma poltica do SGSI nos termos das caractersticas do negcio, a
organizao, sua localizao, ativos e tecnologia que:
1) inclua uma estrutura para definir objetivos e estabelea um direcionamento
global e princpios para aes relacionadas com a segurana da informao;
2) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de
segurana contratuais;
3) esteja alinhada com o contexto estratgico de gesto de riscos da organizao
no qual o estabelecimento e manuteno do SGSI iro ocorrer;
4) estabelea critrios em relao aos quais os riscos sero avaliados; e
5) tenha sido aprovada pela direo.
NOTA - Para os efeitos desta Norma, a poltica do SGSI considerada um documento maior
da poltica de segurana da informao. Estas polticas podem estar descritas em um
documento.
c) Definir a abordagem de anlise/avaliao de riscos da organizao.
1) Identificar uma metodologia de anlise/avaliao de riscos que seja adequada
ao SGSI e aos requisitos legais, regulamentares e de segurana da informao, identificados
para o negcio.
2) Desenvolver critrios para a aceitao de riscos e identificar os nveis
aceitveis de risco.

www.tiparaconcursos.net

Pgina 20 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
A metodologia de anlise/avaliao de riscos selecionada deve assegurar que as
anlises/avaliaes de riscos produzam resultados comparveis e reproduzveis.
NOTA - Existem diferentes metodologias para anlise/avaliao de riscos. So discutidos
exemplos de metodologias de anlise/avaliao de riscos na ISO/IEC TR 13335-3,
Information technology Guidelines for the management of IT Security
Part 3: Techniques for the management of IT security.
d) Identificar os riscos.
1) Identificar os ativos dentro do escopo do SGSI e os proprietrios destes ativos.
O termo 'proprietrio' identifica uma pessoa ou organismo que tenha uma
responsabilidade autorizada para controlar a produo, o desenvolvimento, a manuteno,
o uso e a segurana dos ativos. O termo 'proprietrio' no significa que a pessoa
realmente tenha qualquer direito de propriedade ao ativo.

2) Identificar as ameaas a esses ativos.


3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaas.
4) Identificar os impactos que as perdas de confidencialidade, integridade e
disponibilidade podem causar aos ativos.
e) Analisar e avaliar os riscos.
1) Avaliar os impactos para o negcio da organizao que podem resultar de
falhas de segurana, levando em considerao as consequncias de uma perda de
confidencialidade, integridade ou disponibilidade dos ativos.
2) Avaliar a probabilidade real da ocorrncia de falhas de segurana luz de
ameaas e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os
controles atualmente implementados.
3) Estimar os nveis de riscos.
4) Determinar se os riscos so aceitveis ou se requerem tratamento utilizando
os critrios para aceitao de riscos estabelecidos em 4.2.1 c) 2).
4.2.1 Estabelecer o SGSI
c) Definir a abordagem de anlise/avaliao de riscos da organizao.
2) Desenvolver critrios para a aceitao de riscos e identificar os nveis
www.tiparaconcursos.net

Pgina 21 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
aceitveis de risco.
f) Identificar e avaliar as opes para o tratamento de riscos.
Possveis aes incluem:
1) aplicar os controles apropriados;
2) aceitar os riscos consciente e objetivamente, desde que satisfaam
claramente s polticas da

organizao e aos critrios de aceitao de riscos;

3) evitar riscos; e
4) transferir os riscos associados ao negcio a outras partes, por exemplo,
seguradoras e fornecedores.
g) Selecionar objetivos de controle e controles para o tratamento de riscos.
Objetivos de controle e controles devem ser selecionados e implementados para
atender aos requisitos identificados pela anlise/avaliao de riscos e pelo processo de
tratamento de riscos. Esta seleo deve considerar os critrios para aceitao de riscos
como tambm os requisitos legais, regulamentares e contratuais.
Os objetivos de controle e controles do anexo A devem ser selecionados como
parte deste processo, como adequados para cobrir os requisitos identificados.
Os objetivos de controle e controles listados no anexo A no so exaustivos, e
objetivos de controles e controles adicionais podem tambm ser selecionados.
NOTA - O anexo A contm uma lista detalhada de objetivos de controle e controles que
foram comumente considerados relevantes nas organizaes. Os usurios desta Norma so
direcionados para o anexo A como um ponto de partida para a seleo de controles, para
assegurar que nenhuma opo de controle importante seja negligenciada.

h) Obter aprovao da direo dos riscos residuais propostos.


i) Obter autorizao da direo para implementar e operar o SGSI.
j) Preparar uma Declarao de Aplicabilidade.
Uma Declarao de Aplicabilidade deve ser preparada, incluindo o seguinte:
1) Os objetivos de controle e os controles selecionados em 4.2.1 g) e as razes para
sua seleo;
4.2.1 Estabelecer o SGSI
www.tiparaconcursos.net

Pgina 22 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
g) Selecionar objetivos de controle e controles para o tratamento de riscos.
Objetivos de controle e controles devem ser selecionados e implementados para
atender aos requisitos identificados pela anlise/avaliao de riscos e pelo processo de
tratamento de riscos. Esta seleo deve considerar os critrios para aceitao de riscos
como tambm os requisitos legais, regulamentares e contratuais.
Os objetivos de controle e controles do anexo A devem ser selecionados como
parte deste processo, como adequados para cobrir os requisitos identificados.
Os objetivos de controle e controles listados no anexo A no so exaustivos, e
objetivos de controles e controles adicionais podem tambm ser selecionados.
NOTA - O anexo A contm uma lista detalhada de objetivos de controle e controles
que foram comumente considerados relevantes nas organizaes. Os usurios desta Norma
so direcionados para o anexo A como um ponto de partida para a seleo de controles,
para assegurar que nenhuma opo de controle importante seja negligenciada.

2) Os objetivos de controle e os controles atualmente implementados; e


3) A excluso de quaisquer objetivos de controle e controles do anexo A e a
justificativa para sua excluso.
NOTA - A Declarao de Aplicabilidade prov um resumo das decises relativas ao
tratamento de riscos.
A justificativa das excluses prov uma checagem cruzada de que nenhum controle foi
omitido inadvertidamente.

7.2.2. Implementar e operar o SGSI


A organizao deve:
a) Formular um plano de tratamento de riscos que identifique a ao de gesto
apropriada, recursos, responsabilidades e prioridades para a gesto dos riscos de
segurana.
b) Implementar o plano de tratamento de riscos para alcanar os objetivos de
controle identificados, que inclua consideraes de financiamentos e atribuio de papis e
responsabilidades.
www.tiparaconcursos.net

Pgina 23 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
c) Implementar os controles selecionados em 4.2.1 g) (j foi descrito) para atender
aos objetivos de controle.
d) Definir como medir a eficcia dos controles ou grupos de controles selecionados,
e especificar como estas medidas devem ser usadas para avaliar a eficcia dos controles de
modo a produzir resultados comparveis e reproduzveis.
NOTA - A medio da eficcia dos controles permite aos gestores e equipe determinar o
quanto os controles alcanam de forma satisfatria os objetivos de controle planejados.
e) Implementar programas de conscientizao e treinamento.
f) Gerenciar as operaes do SGSI.
g) Gerenciar os recursos para o SGSI.
h) Implementar procedimentos e outros controles capazes de permitir a pronta
deteco de eventos de segurana da informao e resposta a incidentes de segurana da
informao.

7.2.3. Monitorar e analisar criticamente o SGSI


A organizao deve:
a) Executar procedimentos de monitorao e anlise crtica e outros controles
para:
1) prontamente detectar erros nos resultados de processamento;
2) prontamente identificar tentativas e violaes de segurana bem-sucedidas, e
incidentes de segurana da informao;

3) permitir direo determinar se as atividades de segurana da informao


delegadas a pessoas ou implementadas por meio de tecnologias de informao so
executadas conforme esperado;
4) ajudar a detectar eventos de segurana da informao e assim prevenir
incidentes de segurana da informao pelo uso de indicadores; e
5) determinar se as aes tomadas para solucionar uma violao de segurana
da informao foram eficazes.

www.tiparaconcursos.net

Pgina 24 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
b) Realizar anlises crticas regulares da eficcia do SGSI (incluindo o atendimento
da poltica e dos objetivos do SGSI, e a anlise crtica de controles de segurana), levando
em considerao os resultados de auditorias de segurana da informao, incidentes de
segurana da informao, resultados das medies de eficcia, sugestes e realimentao
de todas as partes interessadas.
c) Medir a eficcia dos controles para verificar que os requisitos de segurana da
informao foram atendidos.
d) Analisar criticamente as anlises/avaliaes de riscos a intervalos planejados e
analisar criticamente os riscos residuais e os nveis de riscos aceitveis identificados,
levando em considerao mudanas relativas a:
1) organizao;
2) tecnologias;
3) objetivos e processos de negcio;
4) ameaas identificadas;
5) eficcia dos controles implementados;
6) eventos externos, tais como mudanas nos ambientes legais ou
regulamentares, alteraes das obrigaes contratuais e mudanas na conjuntura social.
e) Conduzir auditorias internas do SGSI a intervalos planejados.
NOTA - Auditorias internas, s vezes chamadas de auditorias de primeira parte, so
conduzidas por ou em nome da prpria organizao para propsitos internos.
f) Realizar uma anlise crtica do SGSI pela direo em bases regulares para
assegurar que o escopo permanece adequado e que so identificadas melhorias nos
processos do SGSI.
g) Atualizar os planos de segurana da informao para levar em considerao os
resultados das atividades de monitoramento e anlise crtica.
h) Registrar aes e eventos que possam ter um impacto na eficcia ou no
desempenho do SGSI.

7.2.4. Manter e melhorar o SGSI


A organizao deve regularmente:
www.tiparaconcursos.net

Pgina 25 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
a) Implementar as melhorias identificadas no SGSI.
b) Executar as aes preventivas e corretivas apropriadas de acordo com 8.2 e 8.3.
8 Melhoria do SGSI
8.2 Ao corretiva
A organizao deve executar aes para eliminar as causas de no-conformidades
com os requisitos do SGSI, de forma a evitar a sua repetio. O procedimento
documentado para ao corretiva deve definir requisitos para:
a) identificar no-conformidades;
b) determinar as causas de no-conformidades;
c) avaliar a necessidade de aes para assegurar que aquelas no-conformidades
no ocorram novamente;
d) determinar e implementar as aes corretivas necessrias;
e) registrar os resultados das aes executadas (ver 4.3.3); e
f)

analisar criticamente as aes corretivas executadas.

8.3 Ao preventiva
A organizao deve determinar aes para eliminar as causas de noconformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia. As
aes preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas.
O procedimento documentado para ao preventiva deve definir requisitos para:
a) identificar no-conformidades potenciais e suas causas;
b) avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades;
c) determinar e implementar as aes preventivas necessrias;
d) registrar os resultados de aes executadas (ver 4.3.3); e
e) analisar criticamente as aes preventivas executadas.
A organizao deve identificar mudanas nos riscos e identificar requisitos de
aes preventivas focando a ateno nos riscos significativamente alterados.
A prioridade de aes preventivas deve ser determinada com base nos resultados
da anlise/avaliao de riscos.
NOTA - Aes para prevenir no-conformidades freqentemente tm melhor custowww.tiparaconcursos.net

Pgina 26 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
benefcio que as aes corretivas.
Aplicar as lies aprendidas de experincias de segurana da informao de outras
organizaes e aquelas da prpria organizao.
c) Comunicar as aes e melhorias a todas as partes interessadas com um nvel de
detalhe apropriado s circunstncias e, se relevante, obter a concordncia sobre como
proceder.
d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.
4. (FCC - 2012 - TRT - 11 Regio/AM) Segundo a norma ISO 27001, para se estabelecer o
Sistema de Gesto de Segurana da Informao (SGSI), considere:
I. A organizao deve definir uma poltica do SGSI nos termos das caractersticas do
negcio, a organizao, sua localizao, ativos e tecnologia que esteja alinhada com o
contexto estratgico de gesto de riscos da organizao no qual o estabelecimento e
manuteno do SGSI iro ocorrer.
II. A organizao deve definir a abordagem de anlise/avaliao de riscos da organizao e
desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco.
III. Identificar e avaliar as opes para o tratamento de riscos, sendo uma possvel ao
aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas
da organizao e aos critrios de aceitao de riscos.
Est correto o que se afirma em
a) I e II, apenas.
b) I e III, apenas.
c) II, apenas.
d) III, apenas.
e) I, II e III.
Comentrio:
Observe o trecho da ISO 27001
4. Sistema de Gesto da Informao, trata dos seguintes tpicos:
4.1 Requisitos Gerais;
4.2 Estabelecendo e gerenciando o SGSI;
4.3 Requisitos de documentao.
www.tiparaconcursos.net

Pgina 27 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
Analisando os itens ...
Item I. CORRETO.
4.2 Estabelecendo e gerenciando o SGSI
b) Definir uma poltica do SGSI nos termos das caractersticas do negcio, a
organizao, sua localizao, ativos e tecnologia que:
1) esteja alinhada com o contexto estratgico de gesto de riscos da organizao no
qual o estabelecimento e manuteno do SGSI iro ocorrer.

Item II. CORRETO.


4.2 Estabelecendo e gerenciando o SGSI
c) Definir a abordagem de anlise/avaliao de riscos da organizao.
2)Desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis
de risco.

Item III. CORRETO.


4.2 Estabelecendo e gerenciando o SGSI
f)

Identificar

avaliar

as

opes

para

tratamento

de

riscos.

2)aceitar os riscos consciente e objetivamente, desde que satisfaam claramente


s polticas da organizao e aos critrios de aceitao de riscos;
Gabarito: E

7.3. Requisitos de documentao


7.3.1. Geral
A documentao deve incluir registros de decises da direo, assegurar que as
aes sejam rastreveis s polticas e decises da direo, e assegurar que os resultados
registrados sejam reproduzveis.
importante que se possa demonstrar a relao dos controles selecionados com os
resultados da anlise/avaliao de riscos e do processo de tratamento de riscos, e
consequentemente com a poltica e objetivos do SGSI.
A documentao do SGSI deve incluir:
www.tiparaconcursos.net

Pgina 28 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
a) declaraes documentadas da poltica e objetivos do SGSI;
b) o escopo do SGSI;
c) procedimentos e controles que apoiam o SGSI;
d) uma descrio da metodologia de anlise/avaliao de riscos;
e) o relatrio de anlise/avaliao de riscos;
f) o plano de tratamento de riscos;
g) procedimentos documentados requeridos pela organizao para assegurar o
planejamento efetivo, a operao e o controle de seus processos de segurana de
informao e para descrever como medir a eficcia dos controles;
h) registros requeridos por esta Norma; e
i) a Declarao de Aplicabilidade.
NOTA 1 - Onde o termo "procedimento documentado" aparecer nesta Norma, significa que
o procedimento estabelecido, documentado, implementado e mantido.
NOTA 2 - A abrangncia da documentao do SGSI pode variar de uma organizao para
outra devido ao:

Tamanho da organizao e o tipo de suas atividades; e

Escopo e complexidade dos requisitos de segurana e o do sistema gerenciado.

NOTA 3 - Documentos e registros podem estar em qualquer forma ou tipo de mdia.

7.3.2. Controle de documentos


Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um
procedimento documentado deve ser estabelecido para definir as aes de gesto
necessrias para:
a) aprovar documentos quanto sua adequao antes de sua emisso;
b) analisar criticamente e atualizar, quando necessrio, e reaprovar documentos;
c) assegurar que as alteraes e a situao da reviso atual dos documentos sejam
identificadas;
d) assegurar que as verses pertinentes de documentos aplicveis estejam
disponveis nos locais de uso;

www.tiparaconcursos.net

Pgina 29 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
e) assegurar que os documentos permaneam legveis e prontamente
identificveis;
f) assegurar que os documentos estejam disponveis queles que deles precisam e
sejam transferidos, armazenados e finalmente descartados conforme os procedimentos
aplicveis sua classificao;
g) assegurar que documentos de origem externa sejam identificados;
h) assegurar que a distribuio de documentos seja controlada;
i) prevenir o uso no intencional de documentos obsoletos; e
j) aplicar identificao adequada nos casos em que sejam retidos para qualquer
propsito.

7.3.3. Controle de registros


Registros devem ser estabelecidos e mantidos para fornecer evidncias de
conformidade aos requisitos e da operao eficaz do SGSI. Eles devem ser protegidos e
controlados. O SGSI deve levar em considerao quaisquer requisitos legais ou
regulamentares pertinentes e obrigaes contratuais. Os registros devem permanecer
legveis, prontamente identificveis e recuperveis. Os controles necessrios para a
identificao, armazenamento, proteo, recuperao, tempo de reteno e disposio de
registros devem ser documentados e implementados.
Devem ser mantidos registros do desempenho do processo como definido em 4.2
(Estabelecimento e gerenciamento do SGSI) e de todas as ocorrncias de incidentes de
segurana da informao significativos relacionados ao SGSI.
EXEMPLO
Exemplos de registros so: livros de visitantes, relatrios de auditoria e formulrios
de autorizao de acesso preenchidos.

8. Responsabilidades da direo
Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:

www.tiparaconcursos.net

Pgina 30 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

8.1. Comprometimento da direo


A Direo deve fornecer evidncia do seu comprometimento com o
estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e
melhoria do SGSI mediante:
a) o estabelecimento da poltica do SGSI;
b) a garantia de que so estabelecidos os planos e objetivos do SGSI;
c) o estabelecimento de papis e responsabilidades pela segurana de informao;
d) a comunicao organizao da importncia em atender aos objetivos de
segurana da informao e a conformidade com a poltica de segurana de informao, suas
responsabilidades perante a lei e a necessidade para melhoria contnua;
e) a proviso de recursos suficientes para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar o SGSI;
f) a definio de critrios para aceitao de riscos e dos nveis de riscos aceitveis;
g) a garantia de que as auditorias internas do SGSI sejam realizadas; e
h) a conduo de anlises crticas do SGSI pela direo.

8.2. Gesto de recursos


8.2.1. Proviso de recursos
A organizao deve determinar e prover os recursos necessrios para:
a) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um SGSI;
b) assegurar que os procedimentos de segurana da informao apoiam os
requisitos de negcio;
c) identificar e tratar os requisitos legais e regulamentares e obrigaes contratuais
de segurana da informao;
www.tiparaconcursos.net

Pgina 31 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
d) manter a segurana da informao adequada pela aplicao correta de todos os
controles implementados;
e) realizar anlises crticas, quando necessrio, e reagir adequadamente aos
resultados destas anlises crticas; e
f) onde requerido, melhorar a eficcia do SGSI.
5. (FCC - 2012 - TRT - 6 Regio/PE) Segundo a ISO/IEC 27001, em relao Proviso de
Recursos, a organizao deve determinar e prover os recursos necessrios para
a) avaliar a necessidade de aes para assegurar que as no conformidades no ocorram.
b) identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade
podem causar aos ativos.
c) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e
fornecedores.
d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
um SGSI.
e) desenvolver critrios para a aceitao de riscos e identificar nveis aceitveis de risco.
Comentrio:
De acordo com a Norma 27.001, temos:
5.2 Gesto de recursos
5.2.1 Proviso de recursos
A organizao deve determinar e prover os recursos necessrios para:
a) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um SGSI;
b) assegurar que os procedimentos de segurana da informao apoiam os requisitos
de negcio;
c) identificar e tratar os requisitos legais e regulamentares e obrigaes contratuais
de segurana da informao;
d) manter a segurana da informao adequada pela aplicao correta de todos os
controles implementados;
e) realizar anlises crticas, quando necessrio, e reagir adequadamente aos
resultados destas anlises crticas;
www.tiparaconcursos.net

Pgina 32 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
f) onde requerido, melhorar a eficcia do SGSI.
Gabarito: D

8.2.2. Treinamento, conscientizao e competncia


A organizao deve assegurar que todo o pessoal que tem responsabilidades
atribudas definidas no SGSI seja competente para desempenhar as tarefas requeridas:
a) determinando as competncias necessrias para o pessoal que executa trabalhos
que afetam o SGSI;
b) fornecendo treinamento ou executando outras aes (por exemplo, contratar
pessoal competente) para satisfazer essas necessidades;
c) avaliando a eficcia das aes executadas; e
d) mantendo registros de educao, treinamento, habilidades, experincias e
qualificaes.
A organizao deve tambm assegurar que todo o pessoal pertinente esteja
consciente da relevncia e importncia das suas atividades de segurana da informao e
como eles contribuem para o alcance dos objetivos do SGSI.

9. Auditorias internas do SGSI


A organizao deve conduzir auditorias internas do SGSI a intervalos planejados
para determinar se os objetivos de controle, controles, processos e procedimentos do seu
SGSI:
a) atendem aos requisitos desta Norma e legislao ou regulamentaes
pertinentes;
b) atendem aos requisitos de segurana da informao identificados;
c) esto mantidos e implementados eficazmente; e
d) so executados conforme esperado.

Um programa de auditoria deve ser planejado levando em considerao a situao


e a importncia dos processos e reas a serem auditadas, bem como os resultados de
auditorias anteriores. Os critrios da auditoria, escopo, frequncia e mtodos devem ser
www.tiparaconcursos.net

Pgina 33 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
definidos. A seleo dos auditores e a execuo das auditorias devem assegurar
objetividade e imparcialidade do processo de auditoria. Os auditores no devem auditar seu
prprio trabalho.
As responsabilidades e os requisitos para planejamento e para execuo de
auditorias e para relatar os resultados e a manuteno dos registros devem ser definidos em
um procedimento documentado.
O responsvel pela rea a ser auditada deve assegurar que as aes sejam
executadas, sem demora indevida, para eliminar as no-conformidades detectadas e suas
causas. As atividades de acompanhamento devem incluir a verificao das aes executadas
e o relato dos resultados de verificao.
NOTA - A ABNT NBR ISO 19011:2002 - Diretrizes para auditorias de sistema de gesto da
qualidade e/ou ambiental - pode prover uma orientao til para realizar auditorias
internas do SGSI.

10.Anlise crtica do SGSI pela direo


Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:

10.1. Geral
A direo deve analisar criticamente o SGSI da organizao a intervalos planejados
(pelo menos uma vez por ano) para assegurar a sua contnua pertinncia, adequao e
eficcia. Esta anlise crtica deve incluir a avaliao de oportunidades para melhoria e a
necessidade de mudanas do SGSI, incluindo a poltica de segurana da informao e
objetivos de segurana da informao. Os resultados dessas anlises crticas devem ser
claramente documentados e os registros devem ser mantidos.

10.2. Entradas para a anlise crtica


As entradas para a anlise crtica pela direo devem incluir:
a) resultados de auditorias do SGSI e anlises crticas;
www.tiparaconcursos.net

Pgina 34 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
b) realimentao das partes interessadas;
c) tcnicas, produtos ou procedimentos que podem ser usados na organizao para
melhorar o desempenho e a eficcia do SGSI;
d) situao das aes preventivas e corretivas;
e) vulnerabilidades ou ameaas no contempladas adequadamente nas
anlises/avaliaes de risco anteriores;
f) resultados das medies de eficcia;
g) acompanhamento das aes oriundas de anlises crticas anteriores pela direo;
h) quaisquer mudanas que possam afetar o SGSI; e
i) recomendaes para melhoria.

10.3. Sadas da anlise crtica


As sadas da anlise crtica pela direo devem incluir quaisquer decises e aes
relacionadas a:
a) Melhoria da eficcia do SGSI.
b) Atualizao da anlise/avaliao de riscos e do plano de tratamento de riscos.
c) Modificao de procedimentos e controles que afetem a segurana da
informao, quando necessrio, para responder a eventos internos ou externos que possam
impactar no SGSI, incluindo mudanas de:
1) requisitos de negcio;
2) requisitos de segurana da informao;
3) processos de negcio que afetem os requisitos de negcio existentes;
4) requisitos legais ou regulamentares;
5) obrigaes contratuais; e
6) nveis de riscos e/ou critrios de aceitao de riscos.
d) Necessidade de recursos.
e) Melhoria de como a eficcia dos controles est sendo medida.

11.Melhoria do SGSI
Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:

www.tiparaconcursos.net

Pgina 35 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

11.1. Melhoria contnua


A organizao deve continuamente melhorar a eficcia do SGSI por meio do uso da
poltica de segurana da informao, objetivos de segurana da informao, resultados de
auditorias, anlises de eventos monitorados, aes corretivas e preventivas e anlise crtica
pela direo.

11.2. Ao corretiva
A organizao deve executar aes para eliminar as causas de no-conformidades
com os requisitos do SGSI, de forma a evitar a sua repetio. O procedimento documentado
para ao corretiva deve definir requisitos para:
a) identificar no-conformidades;
b) determinar as causas de no-conformidades;
c) avaliar a necessidade de aes para assegurar que aquelas no-conformidades
no ocorram novamente;
d) determinar e implementar as aes corretivas necessrias;
e) registrar os resultados das aes executadas; e
f) analisar criticamente as aes corretivas executadas.

11.3. Ao preventiva
A organizao deve determinar aes para eliminar as causas de noconformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia. As
aes preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas.
O procedimento documentado para ao preventiva deve definir requisitos para:
a) identificar no-conformidades potenciais e suas causas;
b) avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades;
c) determinar e implementar as aes preventivas necessrias;
d) registrar os resultados de aes executadas; e
www.tiparaconcursos.net

Pgina 36 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
e) analisar criticamente as aes preventivas executadas.

A organizao deve identificar mudanas nos riscos e identificar requisitos de aes


preventivas focando a ateno nos riscos significativamente alterados.
A prioridade de aes preventivas deve ser determinada com base nos resultados
da anlise/avaliao de riscos.
NOTA - Aes para prevenir no-conformidades frequentemente tm melhor custobenefcio que as aes corretivas.

12. Anexo A (normativo)


Objetivos de controle e controles:
Os objetivos de controle e controles listados na tabela A.1 so derivados
diretamente e esto alinhados com aqueles listados na ABNT NBR ISO/IEC 17799:2005 sees 5 a 15. As listas na tabela A.1 no so exaustivas e uma organizao pode considerar
que objetivos de controle e controles adicionais so necessrios. Os objetivos de controle e
controles desta tabela devem ser selecionados como parte do processo de SGSI especificado
em 4.2.1 (J foi descrito).
A ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15 fornecem recomendaes e um
guia de implementao das melhores prticas para apoiar os controles especificados em A.5
a A.15.
Tabela A.1 Objetivos de controle e controles

www.tiparaconcursos.net

Pgina 37 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 38 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 39 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 40 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 41 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 42 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 43 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 44 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 45 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 46 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 47 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 48 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 49 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 50 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 51 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 52 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

13. Anexo B (informativo)


Princpios da OECD e desta Norma:
Os princpios definidos pelas Diretrizes de OECD para a Segurana de Sistemas de
Informao e Redes aplicam-se para toda a poltica e nveis operacionais que governam a
segurana de sistemas de informao e redes. Esta Norma prov uma estrutura de um
sistema de gesto de segurana da informao para implementar alguns dos princpios da
OECD que usam o modelo PDCA e os processos descritos nas sees 4, 5, 6 e 8, como
indicado na tabela B.1.
Tabela B.1 Princpios da OECD e o modelo PDCA

www.tiparaconcursos.net

Pgina 53 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

14.Anexo C (informativo)
Correspondncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e
esta Norma:
Tabela C.1 Correspondncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO
14001:2004 e esta Norma

www.tiparaconcursos.net

Pgina 54 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

www.tiparaconcursos.net

Pgina 55 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel

15.Lista das Questes Utilizadas na Aula.


1. (FCC - 2011 - TRT - 14 Regio - RO e AC) Estabelecer a poltica, objetivos, processos e
procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da
informao para produzir resultados de acordo com as polticas e objetivos globais de uma
organizao. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta
definio pertence a
a) planejar.
b) agir.
c) fazer.
d) confidencializar.
e) checar.

2. (FCC - 2011 - TRT - 4 REGIO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre
organizaes do tipo
a) comerciais, somente.
b) governamentais, somente.
c) sem fins lucrativos, somente.
d) comerciais e governamentais, somente.
e) comerciais, governamentais e sem fins lucrativos.

www.tiparaconcursos.net

Pgina 56 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
3. (FCC - 2011 - TRT - 1 REGIO (RJ) De acordo com a NBR ISO/IEC 27001, integridade
a) a propriedade de a informao estar acessvel e utilizvel sob demanda por uma entidade
autorizada.
b) a propriedade de que a informao no esteja disponvel ou revelada a indivduos,
entidades ou processos no autorizados.
c) a possvel violao da poltica de segurana da informao ou falha de controles.
d) a propriedade de salvaguarda da exatido e completeza de ativos.
e) qualquer coisa que tenha valor para a organizao.

4. (FCC - 2012 - TRT - 11 Regio/AM) Segundo a norma ISO 27001, para se estabelecer o
Sistema de Gesto de Segurana da Informao (SGSI), considere:
I. A organizao deve definir uma poltica do SGSI nos termos das caractersticas do negcio,
a organizao, sua localizao, ativos e tecnologia que esteja alinhada com o contexto
estratgico de gesto de riscos da organizao no qual o estabelecimento e manuteno do
SGSI iro ocorrer.
II. A organizao deve definir a abordagem de anlise/avaliao de riscos da organizao e
desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco.
III. Identificar e avaliar as opes para o tratamento de riscos, sendo uma possvel ao
aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas
da organizao e aos critrios de aceitao de riscos.
Est correto o que se afirma em
a) I e II, apenas.
b) I e III, apenas.
c) II, apenas.
d) III, apenas.
e) I, II e III.

5. (FCC - 2012 - TRT - 6 Regio/PE) Segundo a ISO/IEC 27001, em relao Proviso de


Recursos, a organizao deve determinar e prover os recursos necessrios para
a) avaliar a necessidade de aes para assegurar que as no conformidades no ocorram.
www.tiparaconcursos.net

Pgina 57 de 58

TRT/13 (Cargo: An Jud TI) Segurana da


Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
b) identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade
podem causar aos ativos.
c) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e
fornecedores.
d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
um SGSI.
e) desenvolver critrios para a aceitao de riscos e identificar nveis aceitveis de risco.

16.Gabarito.
1. A
2. E
3. D
4. E
5. D
Um assunto um tanto quanto delicado, mas o rateio de material
crime e ns no TIParaConcursos.net no iremos tolerar tal prtica, visto os esforos
despendidos pelos nossos professores e sua respectiva valorizao.
Temos ainda meios de rastrearmos tal realizao em grupos de discusses e redes
sociais, de forma que tal prtica seja coibida.
DIREITOS AUTORAIS LEI 10.695/2003 No caso de violao de direitos de autor e
delitos conexos, a pena ser de deteno de trs meses a um ano ou multa. Se a infrao
tiver o intuito de lucro direito ou indireto, o agente poder ser condenado recluso de dois
a quatro anos e multa, tanto na hiptese de distribuio, venda ou aluguel no pas, quanto
no de oferecimento ao pblico via cabo, fibra tica e satlite.
CONCURSEIRO QUE PIRATEIA PODE FICAR IMPEDIDO DE TOMAR POSSE CASO SEJA
PROCESSADO.

www.tiparaconcursos.net

Pgina 58 de 58