Você está na página 1de 47

Curso On-Line

Segurana da Informao

Normas de Segurana da Informao 27002


Aula 4
Prof. M.Sc. Gleyson Azevedo
professor.gleyson@gmail.com
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

Roteiro

NBR 27002 Gerenciamento das Operaes e


Comunicaes

NBR 27002 Controle de Acessos


NBR 27002 Aquisio, Desenvolvimento e Manuteno de
Sistemas de Informao

NBR 27002 Gesto de Incidentes de Segurana da


Informao

NBR 27002 Gesto da Continuidade do Negcio

NBR 27002 Conformidade


Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Esta seo possui 10 categorias:

Procedimentos e responsabilidades operacionais;

Gerenciamento de servios terceirizados;

Planejamento e aceitao dos sistemas;

Proteo contra cdigos maliciosos e cdigos mveis;

Cpias de segurana;

Gerenciamento da segurana em redes;

Manuseio de mdias;
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

(Cont.):

Troca de informaes;

Servios de comrcio eletrnico;

Monitoramento.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

10

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

11

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

12

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

13

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

14

NBR ISO/IEC 27002 Gerenciamento


das Operaes e Comunicaes

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

15

Exerccios
1. (Analista de Controle Externo Tecnologia da Informao TCU/2007 CESPE) De acordo com a norma ISO 17799, julgue os itens a seguir.
1 [140] Tendo em vista o ambiente de TI implantado em uma entidade, faz-se
necessrio que essa entidade disponha de critrios de aceitao para novos
sistemas.

2 [141] Os recursos e os ambientes de desenvolvimento, teste e produo devem


interagir permanentemente para a obteno da compatibilidade e da harmonia
pretendida.
2. (Analista de Controle Externo Auditoria de TI TCU/2007 - CESPE)
Julgue o prximos item acerca dos conceitos de segurana da
informao.
1 [154] Rootkits apresentam portabilidade entre plataformas e devem ser
manuseados conforme os controles estabelecidos no captulo relativo
aquisio, desenvolvimento e manuteno de sistemas de informao da NBR
17799.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

16

NBR ISO/IEC 27002 Controle de


Acessos

Esta seo possui 7 categorias:

Requisitos de negcio para controle de acesso;

Gerenciamento de acesso do usurio;

Responsabilidades dos usurios;

Controle de acesso rede;

Controle de acesso ao sistema operacional;

Controle de acesso aplicao e informao;

Computao mvel e trabalho remoto.


Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

17

NBR ISO/IEC 27002 Controle de


Acessos

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

18

NBR ISO/IEC 27002 Controle de


Acessos

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

19

NBR ISO/IEC 27002 Controle de


Acessos

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

20

NBR ISO/IEC 27002 Controle de


Acessos

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

21

NBR ISO/IEC 27002 Controle de


Acessos

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

22

NBR ISO/IEC 27002 Controle de


Acessos

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

23

NBR ISO/IEC 27002 Controle de


Acessos

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

24

NBR ISO/IEC 27002 Controle de


Acessos

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

25

Exerccios

3. (Analista Administrativo Informtica ANTAQ/2009 - CESPE) Tendo


como referncia a figura acima, que prope uma classificao de
controles de segurana, julgue os itens
1 [74] So exemplos de controles administrativos: as polticas de segurana, os
procedimentos de classificao da informao e a identificao e autenticao
de sistemas.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

26

NBR ISO/IEC 27002 Aquisio,


Desenvolvimento e Manuteno de
Sistemas de Informao

Esta seo possui 6 categorias:

Requisitos de segurana de sistemas de informao;

Processamento correto nas aplicaes;

Controles criptogrficos;

Segurana dos arquivos do sistema;

Segurana em processos de desenvolvimento e de


suporte;
Gesto de vulnerabilidades tcnicas.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

27

NBR ISO/IEC 27002 Aquisio,


Desenvolvimento e Manuteno de Sistemas
de Informao

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

28

NBR ISO/IEC 27002 Aquisio,


Desenvolvimento e Manuteno de Sistemas
de Informao

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

29

NBR ISO/IEC 27002 Aquisio,


Desenvolvimento e Manuteno de Sistemas
de Informao

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

30

NBR ISO/IEC 27002 Aquisio,


Desenvolvimento e Manuteno de Sistemas
de Informao

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

31

NBR ISO/IEC 27002 Aquisio,


Desenvolvimento e Manuteno de Sistemas
de Informao

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

32

Exerccios

4. (Analista de Controle Externo Tecnologia da Informao TCU/2008 CESPE) Julgue o item abaixo.
1 [182] Segundo a norma 17799/2005, no caso de desenvolvimento de software por
mo-de-obra terceirizada, necessrio estabelecer controles adicionais para
testar e detectar, antes da instalao desse software, a presena de cdigo
troiano.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

33

NBR ISO/IEC 27002 Gesto de


Incidentes de Segurana da Informao

Esta seo possui 2 categorias:

Notificao de fragilidades e eventos de segurana da


informao;
Gesto de incidentes de segurana da informao e
melhorias.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

34

NBR ISO/IEC 27002 Gesto de


Incidentes de Segurana da Informao
A.13.1 Notificao de fragilidades e eventos de segurana da informao

Objetivo: Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de
informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

35

NBR ISO/IEC 27002 Gesto de


Incidentes de Segurana da Informao

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

36

Exerccios

5. (Analista de Controle Externo Tecnologia da Informao TCU/2007 CESPE) Julgue os itens que se seguem, considerando que, na proposta
organizacional descrita na figura III, a empresa tenha implantado um
programa de gesto de segurana da informao embasado na ABNT
NBR ISO/IEC 17799 (ISO 17799).
1 [147] Conforme a ISO 17799, obrigatrio o relatrio de incidentes de segurana
ao ponto de contato designado. Assim, um funcionrio de uma organizao que
realiza operaes de alto risco e identifica uma violao de acesso, porm
encontra-se sob coao, poder utilizar-se de um mtodo secreto para indicar
esse evento de segurana. Esse mtodo conhecido como alarme de coao.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

37

NBR ISO/IEC 27002 Gesto da


Continuidade do Negcio

Esta seo possui 1 categoria:

Aspectos da gesto da continuidade do negcio,


relativos segurana da informao.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

38

NBR ISO/IEC 27002 Gesto da


Continuidade do Negcio

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

39

NBR ISO/IEC 27002 Gesto da


Continuidade do Negcio

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

40

Exerccios
6. (Analista Administrativo Tecnologia da Informao Ambiente
Operacional ANATEL/2009 CESPE) Acerca dos procedimentos de
segurana da informao relativos ao gerenciamento da continuidade
do negcio, julgue os itens que se seguem.
1 [82] Os planos de continuidade geralmente prevem como responsabilidade dos
provedores de servio: arranjos de fallback, para servios tcnicos alternativos;
procedimentos de emergncia; planos de fallback manuais; e planos de
retomada.
7. (Analista Administrativo Tecnologia da Informao Anlise de
Negcios ANATEL/2009 CESPE) Julgue os itens subsequentes
acerca das informaes apresentadas e dos conceitos de segurana da
informao.
1 [88] Testes de mesa, testes de recuperao em local alternativo e ensaio geral so
tcnicas que podem ser empregadas na gesto da continuidade de negcios,
conforme prescrio na norma ABNT NBR ISO/IEC 17799:2005.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

41

Exerccios

8. (Analista Administrativo Informtica ANTAQ/2009 - CESPE) Tendo


como referncia a figura acima, que prope uma classificao de
controles de segurana, julgue o item.
1 [75] O desenvolvimento de uma estrutura bsica de um plano de continuidade do
negcio constitui controle com foco administrativo; os ativos de processo
contidos no plano referido, em geral, so crticos ao negcio da organizao e
apresentam objetivos de tempo de recuperao da ordem de poucos segundos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

42

NBR ISO/IEC 27002


Conformidade

Esta seo possui 3 categorias:

Conformidade com requisitos legais;

Conformidade com normas e polticas de segurana da


informao e conformidade tcnica;
Consideraes quanto auditoria de sistemas de
informao.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

43

NBR ISO/IEC 27002


Conformidade

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

44

NBR ISO/IEC 27002


Conformidade

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

45

NBR ISO/IEC 27002


Conformidade

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

46

Gabarito das Questes


1. 1C-2E
2. 1E
3. 1E
4. 1C
5. 1E
6. 1E

7. 1C
8. 1E
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

47