Curso Normas Tcu 2015 27002

Curso Normas SI TCU 2015
27002:2013
Professor Gleyson Azevedo gleyson@dominandoti.com.br
WWW.DOMINANDOTI.COM.BR
Acesse nosso site em

Cursos
Livros
Frum
Simulados
Blog
Materiais
Turmas em Braslia, na sua cidade, e cursos online

Edies publicadas, lanamentos e promoes
Interao direta entre estudantes e com os professores
Questes inditas, ranking de notas e correes em vdeo
Dicas e macetes de estudo, indicaes de bibliografia, etc.
Verses atualizadas de notas de aula e listas de exerccios
Curta o Dominando TI no
e receba nossas dicas sobre concursos!
Roteiro
ABNT NBR ISO/IEC 27002:2013
NBR ISO/IEC 27002 Viso Geral

O grupo internacional JTC1/SC27, formado pelas organizaes
ISO e IEC, criou em 2000 a norma ISO/IEC 17799 baseada na
primeira parte da norma britnica BS 7799.
Esse grupo promoveu a reviso da ISO/IEC 17799,
renomeando-a para ISO/IEC 17799:2005.
Originada a partir da NBR ISO/IEC 17799:2005, essa norma
teve sua numerao modificada para 27002 em 2007, sem
modificao alguma no seu contedo.
A verso de 2013 trouxe uma srie de modificaes, desde
uma ligeira uma mudana no nome, passando pela
reestruturao de sees, at a incluso e a excluso de
controles.

Essa norma um Cdigo de Boas Prticas para a Segurana
da Informao, sendo a sua aplicao um pouco mais
restrita do que a ISO/IEC 27001:2013, pois ela no uma
norma voltada para fins de certificao.
Essa norma sugere que a informao, como qualquer outro

ativo importante, deve ser protegida.
Esta proteo deve ser feita a partir da implementao de
um conjunto de controles adequados, incluindo polticas,
processos, procedimentos, estruturas organizacionais e
funes de software e hardware.
Estes controles tm por finalidade atender aos requisitos

identificados por meio de uma anlise/avaliao dos riscos
da organizao.

A norma est organizada da seguinte forma:
objetivo do controle: define o que deve ser alcanado;
controle: define o controle a ser implementado para
atender o objetivo do controle;
diretrizes: apresenta informaes mais detalhadas para
apoiar a implementao do controle;
informaes adicionais: so informaes que podem ser
consideradas na implementao do controle, como por
exemplo, aspectos legais e referncias a outras normas.
Exerccios
1.
(CESPE TJ-ES/2011 Analista Judicirio Anlise de Sistemas 98) A

norma ISO/IEC 27002 foi elaborada como base para o processo de
certificao de empresas que oferecem servios de implantao de segurana
da informao, garantindo-se, assim, no mercado competitivo, um padro de
servios de segurana oferecido por especialistas.
2.
(CESPE ABIN/2010 Oficial Tcnico de Inteligncia Desenvolvimento

e Manuteno de Sistemas 111) A norma ABNT NBR ISO/IEC 27002
apresenta critrios para a organizao geral do sistema de gesto da
segurana da informao. Por ser uma norma genrica, que apenas prope
diretrizes, no pode ser utilizada para fins de certificao, pois no apresenta
controles especficos a serem tomados como base para a proteo de ativos
em uma empresa.
3.
(CESPE TCU/2010 Auditor Federal de Controle Externo Apoio

Tcnico e Administrativo Tecnologia da Informao 177) A Norma NBR
ISO/IEC 27001 estabelece o cdigo de prtica para a gesto da segurana da
informao e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas
de gesto de segurana da informao.
Exerccios
Julgue os itens 143 e 144 segundo a norma ABNT NBR ISO/IEC 27002:2005.
4.
(CESPE MPU/2010 Analista de Informtica Banco de Dados 143) A

referida norma, bem como suas atualizaes correntes, apresenta um cdigo
de boas prticas para a gesto de segurana da informao, portanto,
adequada para usurios responsveis por iniciar, implementar, manter e
melhorar sistemas de gesto de segurana da informao.
5.
(CESPE MPU/2010 Analista de Informtica Banco de Dados 144) O

padro atual da norma em questo constitui-se em uma reviso da primeira
verso dessa norma publicada pela ISO/IEC, em 2000. poca, essa norma
era cpia da norma britnica British Standard (BS) 7799-1:1999.
6.
(CESPE TJ-ES/2011 Analista Judicirio Anlise de Suporte 97) Na

rea de segurana da informao, esto excludas do conceito de controle as
polticas, as diretrizes, as prticas ou a prpria estrutura organizacional, que
so consideradas contramedidas ou aes de preveno.
NBR ISO/IEC 27002 Organizao

0. INTRODUO.
1. ESCOPO.
2. REFERNCIA NORMATIVA
3. TERMOS E DEFINIES.
4. ESTRUTURA DESTA NORMA.
5. POLTICAS DE SEGURANA DA INFORMAO.
6. ORGANIZAO DA SEGURANA DA INFORMAO.
7. SEGURANA EM RECURSOS HUMANOS.
8. GESTO DE ATIVOS.
9. CONTROLE DE ACESSO.
10. CRIPTOGRAFIA.
NBR ISO/IEC 27002 Organizao

11. SEGURANA FSICA E DO AMBIENTE.
12. SEGURANA NAS OPERAES.
13. SEGURANA NAS COMUNICAES.
14. AQUISIO, DESENVOLVIMENTO E MANUTENO DE

SISTEMAS.
15. RELACIONAMENTO NA CADEIA DE SUPRIMENTO.
16. GESTO DE INCIDENTES DE SEGURANA DA
INFORMAO.
17. ASPECTOS DE SEGURANA DA INFORMAO NA GESTO
DA CONTINUIDADE DO NEGCIO.
18. CONFORMIDADE.
10
Exerccios
7.
(CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao

Segurana da Informao 71) A conformidade no um dos contedos da
referida norma, pois no visa obteno de certificao, j que essa
incumbncia fica a cargo de empresas privadas responsveis pala anlise de
conformidade da prtica de empresas s prticas recomendadas tanto pela
NBR 27002 quanto pela NBR 27001.
11
0. Introduo
Esta Norma projetada para as organizaes usarem como:
uma referncia na seleo de controles dentro do processo
de implementao de um sistema de gesto da segurana
da informao (SGSI), baseado na ABNT NBR ISO/IEC
27001;
um documento de orientao para as organizaes
implementarem controles de segurana da informao
comumente aceitos.
Ativos so objeto de ameaas, tanto acidentais como
deliberadas, enquanto que os processos, sistemas, redes e
pessoas tm vulnerabilidades inerentes.
12
0. Introduo
Mudanas nos processos e sistemas do negcio ou outras
mudanas externas (como novas leis e regulamentaes),
podem criar novos riscos de segurana da informao.
Desta forma, em funo das vrias maneiras nas quais as
ameaas podem se aproveitar das vulnerabilidades para
causar dano organizao, os riscos de segurana da
informao esto sempre presentes.
Uma segurana da informao eficaz reduz estes riscos,
protegendo a organizao das ameaas e vulnerabilidades e,
assim, reduzindo o impacto aos seus ativos.
13
0. Introduo
A segurana da informao alcanada pela implementao
de um conjunto adequado de controles, incluindo polticas,
processos, procedimentos, estrutura organizacional e funes
de software e hardware.
Estes controles precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados, quando
necessrio, para assegurar que os objetivos do negcio e a
segurana da informao da organizao sejam atendidos.
Um SGSI, a exemplo do especificado na ABNT NBR ISO/IEC
27001, considera uma viso holstica e coordenada dos riscos
de segurana da informao da organizao, para
implementar um conjunto de controles de segurana da
informao detalhado, com base na estrutura global de um
sistema de gesto coerente.
14
0. Introduo Requisitos de Segurana da Informao

essencial que uma organizao identifique os seus
requisitos de segurana da informao.
Fontes de requisitos:
avaliao de riscos;
legislao vigente, estatutos, regulamentao, clusulas
contratuais;
conjunto de princpios, objetivos e requisitos de negcio.
15
0. Introduo Seleo de Controle

Controles podem ser selecionados desta Norma ou de outros
conjuntos de controles, ou novos controles podem ser
projetados para atender s necessidades especficas,
conforme apropriado.
A seleo de controles de segurana da informao depende
das decises da organizao, baseadas nos critrios para
aceitao de risco, nas opes para tratamento do risco e no
enfoque geral da gesto de risco aplicado organizao, e
convm que a seleo destes controles tambm esteja sujeita
a todas as legislaes e regulamentaes nacionais e
internacionais relevantes.
Alguns dos controles nesta Norma podem ser considerados
princpios bsicos para a gesto da segurana da informao
e podem ser aplicados maioria das organizaes.
16
0. Introduo Desenvolvendo suas Prprias Diretrizes

Esta Norma pode ser considerada um ponto de partida para o
desenvolvimento de diretrizes especficas para a organizao.
Nem todos os controles e diretrizes contidos neste cdigo de
prtica podem ser aplicados.
Alm disto, controles adicionais e recomendaes no
includas nesta Norma, podem ser necessrios.
Quando os documentos so desenvolvidos contendo controles
ou recomendaes adicionais, pode ser til realizar uma
referncia cruzada com as sees desta Norma, onde
aplicvel, para facilitar a verificao da conformidade por
auditores e parceiros de negcio.
17
0. Introduo Consideraes sobre o ciclo de vida

A informao tem um ciclo de vida natural, desde a sua
criao e origem, armazenamento, processamento, uso e
transmisso, at a sua eventual destruio ou obsolescncia.
O valor e os riscos aos ativos podem variar durante o tempo
de vida da informao (por exemplo, revelao no
autorizada ou roubo de balanos financeiros de uma
companhia muito menos importante depois que eles so
formalmente publicados), porm a segurana da informao
permanece importante em algumas etapas de todos os
estgios.
18
Exerccios
8.

Segurana da Informao 73) Requisitos de segurana da informao
podem ser obtidos a partir da anlise/avaliao dos riscos da organizao com
base nos seus objetivos estratgicos; a partir da legislao vigente; e,
finalmente, a partir dos requisitos do negcio para o processamento da
informao que a organizao desenvolve para realizar suas operaes.
19
1. Escopo
Esta Norma fornece diretrizes para prticas de gesto de
segurana da informao e normas de segurana da
informao para as organizaes, incluindo a seleo, a
implementao e o gerenciamento de controles, levando em
considerao os ambientes de risco da segurana da
informao da organizao.
Esta Norma projetada para ser usada por organizaes que
pretendam:
selecionar controles dentro do processo de implementao

de um SGSI baseado na ABNT NBR ISO/IEC 27001;
implementar controles de segurana da informao
comumente aceitos;
desenvolver seus prprios princpios de gesto da segurana
da informao.
20
Exerccios
9.

Segurana da Informao 75) A norma em apreo estabelece diretrizes e
princpios para a segurana da informao, no entanto a implementao de seus
objetivos de controles e dos controles no garante o atendimento aos requisitos
de segurana da informao, pois a implementao de responsabilidade do
SGSI.
21
2. Referncia Normativa
O documento referenciado a seguir indispensvel

aplicao desta norma.
ISO/IEC 27000, Information technology Security

techniques Information security management systems
Overview and vocabulary
Para referncias datadas, aplicam-se somente as edies

citadas. Para referncias no datadas, aplicam-se as edies
mais recentes do referido documento (incluindo emendas).
22
3. Termos e Definies
Para os efeitos deste documento, aplicam-se os termos e

definies da ISO/IEC 27000.
Alguns exemplos:
Ameaa causa potencial de um incidente indesejado,

que pode resultar em dano para um sistema ou
organizao.
Vulnerabilidade fragilidade de um ativo ou grupo de

ativos que pode ser explorada por uma ou mais ameaas.
Segurana da Informao preservao da

confidencialidade, da integridade e da disponibilidade da
informao; adicionalmente, outras propriedades, tais
como autenticidade, responsabilidade, no repdio e
confiabilidade, podem tambm estar envolvidas.
23
3. Termos e Definies
Controle meio de se gerenciar um risco, incluindo

polticas, processos, procedimentos, estruturas
organizacionais que podem ser administrativas, tcnicas,
gerenciais ou de natureza legal.
NOTA: controle tambm utilizado como sinnimo de

salvaguarda ou contramedida.
24
Exerccios
10. (CESPE TRE-RJ/2012 Analista Judicirio Anlise de Sistemas 106)
Na rea de segurana da informao, vulnerabilidade representa causa
potencial de um incidente indesejado.
Com relao segurana da informao e norma ABNT NBR ISO/IEC
27002:2005, julgue o item que se segue.
11. (CESPE MPU/2010 Analista de Informtica Suporte Tcnico 149)
Vulnerabilidade, em segurana de sistemas computacionais, uma falha no
projeto, implementao ou configurao do sistema operacional, ou de outro
software, que, quando explorada por um atacante, permite a violao da
integridade de um computador.
12. (CESPE TJ-ES/2011 Analista Judicirio Anlise de Sistemas 94)
Para que um incidente de segurana se caracterize, necessria a
concretizao de ameaa que, por meio de vulnerabilidade presente em um
dos ativos do ambiente tecnolgico, gere impacto aos objetivos
organizacionais.
25
Exerccios
O conceito de segurana da informao, alm de implicar a integridade e a
disponibilidade da informao, pode incluir, entre outras propriedades desta, a
autenticidade e a confiabilidade.
26
4. Estrutura desta Norma
Esta Norma contm 14 sees de controles de segurana da

informao de um total de 35 objetivos de controles e 114
controles.
Sees cada seo definindo os controles de segurana

da informao contm um ou mais objetivos de controle. A
ordem em que se encontram as sees no implica nem
significa o seu grau de importncia, bem como a relao
dos controles, no est em ordem de prioridade.
Categorias de controles cada seo principal contm:
um objetivo de controle declarando o que se espera que

seja alcanado;
um ou mais controles que podem ser aplicados para se

alcanar o objetivo do controle.
27
4. Estrutura desta Norma

As descries do controle esto estruturadas da seguinte
forma:
Controle define a declarao especfica do controle, para

atender ao objetivo de controle.
Diretrizes para implementao apresenta informaes

mais detalhadas para apoiar a implementao do controle e
alcanar o objetivo do controle.
Informaes adicionais apresenta mais dados que

podem ser considerados, como por exemplo, questes
legais e referncias normativas. Se no existirem
informaes adicionais, esta parte no mostrada no
controle.
28
Exerccios
Categorias principais de segurana da informao contm objetivo de controle
que define o que deve ser alcanado e um ou mais controles que podem ser
aplicados para se atingir os objetivos de controle.
29
5. Polticas de Segurana da Informao
30

Convm que as polticas de segurana da informao
contemplem requisitos oriundos de:
estratgia do negcio;
regulamentaes, legislao e contratos;
ambiente de ameaa da segurana da informao, atual e
futuro.
Convm que a poltica de segurana da informao contenha
declaraes relativas a:
definio de segurana da informao, objetivos e princpios
para orientar todas as atividades relativas segurana da
informao;
31

atribuio de responsabilidades, gerais e especficas, para o
gerenciamento da segurana da informao para os papis
definidos;
processos para o tratamento dos desvios e excees.
No nvel mais baixo, convm que a poltica de segurana da

informao seja apoiada por polticas especficas do tema, que
exigem a implementao de controles de segurana e que
sejam estruturadas para considerar as necessidades de certos
grupos de interesse dentro da organizao ou para cobrir
tpicos especficos.
So exemplos de tais temas de poltica:
controle de acesso (ver Seo 9);
classificao e tratamento da informao (ver 8.2);
32

segurana fsica e do ambiente (ver Seo 11);
tpicos orientados aos usurios finais;
backup (ver 12.3);
transferncia da informao (ver 13.2);

proteo contra malware (ver 12.2);
gerenciamento de vulnerabilidades tcnicas (ver 12.6.1);
controles criptogrficos (ver Seo 10);
segurana nas comunicaes (ver Seo 13);
proteo e privacidade da informao de identificao

pessoal (ver 18.1.4);
relacionamento na cadeia de suprimento (ver Seo 15).
33
5. Poltica de Segurana da Informao

Convm que estas polticas sejam comunicadas aos
funcionrios e partes externas relevantes de forma que sejam
entendidas, acessveis e relevantes aos usurios pertinentes,
por exemplo, no contexto de um programa de
conscientizao, educao e treinamento em segurana da
informao (ver 7.2.2).
Anlise crtica das polticas para segurana da
informao
Convm que cada poltica de segurana da informao tenha
um gestor que tenha aprovado a responsabilidade pelo
desenvolvimento, anlise crtica e avaliao das polticas de
segurana da informao.
34
5. Poltica de Segurana da Informao

Convm que a anlise crtica inclua a avaliao de
oportunidades para melhoria da poltica de segurana da
informao da organizao e tenha um enfoque para gerenciar
a segurana da informao em resposta s mudanas ao
ambiente organizacional, s circunstncias do negcio, s
condies legais ou ao ambiente de tecnologia.
Convm que a anlise crtica das polticas de segurana da
informao leve em considerao os resultados da anlise
crtica pela direo.
Convm que seja obtida a aprovao da direo para a
poltica revisada.
35
Exerccios
15. (CESPE INPI/2013 Analista de Planejamento, Gesto e Infraestrutura
em Propriedade Industrial Infraestrutura em TI 105) Um documento de
poltica de segurana da informao pretende orientar a segurana da
informao, conforme os requisitos de negcio e as leis e regulamentaes
relevantes para a instituio. Esse documento deve ser aprovado pela direo
e comunicado amplamente aos seus colaboradores.
16. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao

Segurana da Informao 84) As consequncias da violao da poltica de
segurana devem ser includas em um plano de tratamento de riscos, mas no
devem fazer parte do documento da poltica em si.
Segurana da Informao 68) Convm que a poltica de segurana da
informao tenha um patrocinador responsvel por sua manuteno e anlise
crtica e que esteja de acordo com um processo de submisso definido.
36
Exerccios
18. (CESPE TRE-ES/2011 Analista Judicirio Anlise de Sistemas 88) O
documento relativo poltica de segurana da informao deve ser aprovado
pela direo da empresa, publicado e comunicado a todos os funcionrios e s
partes externas relevantes.
19. (CESPE PREVIC/2011 Analista Administrativo Tecnologia da
Informao 114) Uma poltica de segurana eficaz parte da premissa do uso
efetivo de um conjunto de ferramentas de segurana, como firewalls, sistemas
de deteco de intrusos, validadores de senha e criptografia forte.
20. (CESPE TRT-21R/2010 Analista Judicirio Tecnologia da Informao
102) Um dos controles da poltica de segurana da informao estabelece
que ela deve ser analisada criticamente a intervalos planejados ou quando
mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia,
adequao e eficcia.
37
Exerccios
21. (CESPE INPI/2013 Analista de Planejamento, Gesto e Infraestrutura
em Propriedade Industrial Infraestrutura em TI 104) Convm que, em
intervalos planejados, tendncias relacionadas a ameaas e a vulnerabilidades
de segurana da informao faam parte do processo de anlise crtica da
poltica de segurana da informao.
22. (CESPE AL-CE/2012 Cargo 10 112) A poltica de segurana da
informao de uma empresa deve definir requisitos dos controles de
segurana, bem como condies que levem permisso de compartilhamento
de informaes e acesso s aplicaes.
Professor gleyson Azevedo gleyson@dominandoti.com.br
38
6. Organizao da Segurana da Informao
39
40
41
Exerccios
Segurana da Informao 70) A referida norma explcita ao afirmar que,
em razo de seu carter privativo, as polticas e procedimentos de segurana
de uma organizao no podem ser expostos opinio de outros, o que
impossibilita contatos com grupos de interesses especiais ou ainda a
promoo de fruns especializados de segurana da informao e
associaes profissionais.
24. (CESPE ANTT/2013 Analista Administrativo rea: Tecnologia da
Informao Infraestrutura de TI 104) Na aplicao de controle de
segurana, funes e reas de responsabilidade devem ser realizadas de
forma conjunta, pelas mesmas pessoas para reduzir as oportunidades de
modificao.
42
7. Segurana em Recursos Humanos
43
44
45
Exerccios
Segurana da Informao 67) A violao da poltica de segurana da
informao deve ser apurada por meio da aplicao de processo disciplinar
formal: o que estabelece o controle de processo disciplinar contido no grupo
de controle de segurana em recursos humanos.
Segurana da Informao 86) A norma em questo recomenda que sejam
includas, na poltica de segurana da informao, declaraes que
esclaream termos e condies de trabalho de recursos humanos, incluindo
at responsabilidades que se estendam para fora das dependncias da
organizao e fora dos horrios normais de trabalho.

Segurana da Informao 88) A norma referida recomenda que se realizem
treinamento, educao e conscientizao de pessoas apenas antes da
contratao, para assegurar que os novos recursos humanos saibam agir com
segurana diante das atividades a serem desenvolvidas por eles.
46
8. Gesto de Ativos
47
8. Gesto de Ativos
48
8. Gesto de Ativos
49
8. Gesto de Ativos
50
Exerccios
28. (CESPE STF/2013 Analista Judicirio Suporte em Tecnologia da
Informao 74) O inventrio dos ativos faz parte do processo de gesto de
ativos.
Segurana da Informao 54) Uma organizao deve ser capaz de
inventariar seus ativos, identificar seus respectivos valores e importncias e
indicar um proprietrio responsvel por eles. A informao deve ser classificada
em termos de sua utilidade, adequabilidade e nvel de segurana.
Informao 73) As informaes de uma organizao possuem vrios nveis
de sensibilidade e criticidade, razo pela qual alguns itens podem necessitar de
um tratamento e proteo diferenciados.
Segurana da Informao 82) Uma informao deve ser classificada de
acordo com os seus requisitos de confidencialidade, integridade e
disponibilidade, no havendo, nessa norma, indicao de parmetros para
outros tipos de requisitos a serem considerados.
51
Exerccios
Segurana da Informao 55) conveniente que, na classificao das
informaes e seu respectivo controle de proteo, considerem-se as
necessidades de compartilhamento ou restrio de informaes. Ao se tornar
pblica, uma informao frequentemente deixa de ser sensvel ou crtica.
33. (CESPE ABIN/2010 Oficial Tcnico de Inteligncia Suporte a Rede de
Dados 120) Os proprietrios dos ativos organizacionais devem ser
identificados, e a responsabilidade pela manuteno apropriada dos controles
deve ser a eles atribuda. Os proprietrios permanecem responsveis pela
proteo adequada dos ativos, mesmo que a implantao especfica de
controles seja delegada.

105) O objetivo de controle Uso Aceitvel dos Ativos estabelece que devem
ser identificadas, documentadas e implementadas regras para que seja
permitido o uso de informaes e de ativos associados aos recursos de
processamento da informao.
52
Exerccios
35. (CESPE MPU/2010 Analista de Informtica Perito 146) Uma das
recomendaes adequadas para a gesto de ativos que o requisito de
rotulao e tratamento seguro da classificao da informao fundamental
para que sejam definidos os procedimentos de compartilhamento da
informao, seja ela interna ou externa organizao.
36. (CESPE TJ-ES/2011 Analista Judicirio Anlise de Sistemas 97) As
polticas de classificao da informao, fundamentais para permitir que os
ativos e as informaes neles contidas sejam gerenciados com base em
classificaes de sigilo, podem variar de acordo com a nomenclatura adotada
pela organizao, conforme a sua classificao como pblico (ostensivo) ou
confidencial (sigiloso, secreto).

Segurana da Informao 81) Em gesto da segurana da informao, s
devem ser classificadas as informaes que possuam algum valor para a
organizao, ou seja, aquelas cuja divulgao traga algum malefcio financeiro
ou de imagem a qualquer indivduo que nela trabalhe.
53
Exerccios
Informao Infraestrutura de TI 102) Na gesto dos ativos, cujo objetivo
principal manter a proteo adequada dos ativos da organizao,
importante que os principais ativos de informao sejam inventariados e
atribudos a um proprietrio responsvel que, por questo de segurana, no
pode delegar a implementao dos controles.
39. (CESPE CORREIOS/2011 Analista de Sistemas Suporte de Sistemas

87) Entre os objetivos de controle de manuseio de mdias inclui-se o controle
de descarte de mdias, sendo previstas, nessas normas, diretrizes de
implementao para o descarte de forma segura e protegida.
54
9. Controle de Acesso
55
56
57
58
59
Exerccios
40. (CESPE MPU/2010 Analista de Informtica Perito 141) A adoo de
senhas de qualidade por parte dos usurios so recomendaes para
implantar uma poltica de uso de chaves e senhas. Alguns aspectos, citados
na norma, caractersticos de senhas de qualidade so senhas fceis de serem
lembradas, que no sejam vulnerveis a ataques de dicionrio e que sejam
isentas de caracteres idnticos consecutivos.
104) O objetivo de controle Anlise Crtica dos Direitos de Acesso de Usurio
estabelece que deve existir um procedimento formal de registro e
cancelamento de usurio para garantir e revogar acessos em todos os
sistemas de informao e servios.
Informao 109) Como forma de estabelecer um controle mais adequado da
segurana da informao, segundo a norma NBR/ISO/IEC 27002/2005,
convm considerar os controles de acesso lgico e fsico de forma conjunta.
As regras e os direitos para cada usurio ou grupo de usurios devem estar
claramente expressos na poltica de controle de acesso.
60
Exerccios
Informao 112) Muitos servios disponveis na Internet enviam senhas
temporrias aos seus usurios. De acordo com a norma NBR/ISO/IEC
27002/2005, essa prtica conveniente, desde que realizada de forma segura,
procurando-se evitar o uso de correio eletrnico de terceiros ou sem
criptografia.
Segurana da Informao 69) Entre os controles referentes ao
gerenciamento de acesso do usurio, tendo-se em vista assegurar o acesso
autorizado e prevenir o no autorizado, o anexo em questo estabelece que a
anlise crtica de direitos de acesso dos usurios deve ser feita por meio de
um processo formal e conduzida em intervalos regulares.

Informao Infraestrutura de TI 103) De acordo com a norma em
questo, as senhas devem ser modificadas no primeiro acesso ao sistema e
devem ser includas em processos automticos de acesso ao sistema, como
os que utilizam macro e tokens.
61
10. Criptografia
62
11. Segurana Fsica e do Ambiente
63
64
65
66
67
Exerccios
103) O objetivo de controle Controles de Entrada Fsica estabelece que
permetros de segurana (barreiras, como paredes, portes de entrada
controlados por carto ou balces de recepo com recepcionistas) devem ser
utilizados para proteger as reas que contenham informaes e recursos de
processamento da informao.
47. (CESPE TRE-ES/2011 Analista Judicirio Anlise de Sistemas 89) As
instalaes de processamento da informao gerenciadas pela organizao
podem permanecer fisicamente juntas das que so gerenciadas por terceiros,
desde que o acesso ao local seja devidamente controlado.
48. (CESPE CNJ/2013 Analista Judicirio Apoio Especializado Anlise
de Sistemas 102) A segurana fsica e do ambiente descrita na norma
ABNT NBR ISO/IEC 27001, que estabelece orientao para segurana dos
cabeamentos de energia e de telecomunicaes, destacando o modo como
esses cabeamentos devem ser protegidos contra interceptao ou danos.
68
Exerccios
Informao Infraestrutura de TI 101) Na implementao de segurana
fsica e segurana do ambiente em uma organizao, devem ser definidas
reas seguras para prevenir acessos fsicos no autorizados, danos e
interferncias com as instalaes e com as informaes da organizao. Deve
ainda ser implantada uma rea de recepo, de modo que o acesso a locais
definidos como rea seguras fiquem restritos somente ao pessoal da
organizao.
69
12. Segurana nas Operaes
70
71
72
73
74
Exerccios
50. (CESPE MPU/2010 Analista de Informtica Perito 148) Com o
objetivo de otimizar o uso de um ambiente de desenvolvimento de software
quanto aos procedimentos e responsabilidades operacionais relativos ao
gerenciamento das operaes e das comunicaes, uma organizao deve
garantir que software em desenvolvimento e software em produo partilhem
de sistemas e processadores em um mesmo domnio ou diretrio, de modo a
garantir que os testes sejam compatveis com os resultados esperados no
mundo real.
51. (CESPE CORREIOS/2011 Analista de Sistemas Suporte de Sistemas
86) Nas referidas normas, prevista a implementao de controles contra
cdigos maliciosos, mas ainda no h previso acerca de controle contra
cdigos mveis.
Informao 113) Registros ou logs de auditoria podem conter dados
pessoais confidenciais e de intrusos; por isso, importante que medidas de
proteo adequadas sejam tomadas, como, por exemplo, no permitir, quando
possvel, que administradores de sistemas no tenham permisso de excluso
ou desativao de registros de suas prprias atividades.
75
13. Segurana nas Comunicaes
76
77
78
Exerccios
53. (CESPE MPU/2010 Analista de Informtica Perito 150) O filtro de
trfego realizado por gateways no controle de conexes de uma rede deve ser
feito por meio de restries predefinidas em tabelas ou regras para aplicaes,
como, por exemplo, uso de correio eletrnico, acesso interativo e transferncia
de arquivos.
54. (CESPE MPU/2010 Analista de Informtica Perito 149) Os controles
referentes segurana de redes, que estabelecem que as redes devam ser
gerenciadas e controladas e que os nveis e requisitos de gerenciamento
sejam implementados, esto presentes no captulo da norma que se refere ao
controle de acessos.
O termo de confidencialidade, de acordo com norma NBR ISO/IEC, representa
a propriedade de salvaguarda da exatido e completude de ativos.
79
14. Aquisio, Desenvolvimento e Manuteno de Sistemas
80
81
82
83
84
Exerccios
56. (CESPE TJ-ES/2011 Analista Judicirio Anlise de Sistemas 96)
Para o controle lgico do ambiente computacional, deve-se considerar que
medidas de segurana devem ser atribudas aos sistemas corporativos e aos
bancos de dados, formas de proteo ao cdigo-fonte, preservao de
arquivos de log de acesso ao sistema, incluindo-se o sistema de autenticao
de usurios.
85
15. Relacionamento na Cadeia de Suprimento
86
15. Relacionamento na Cadeia de Suprimento
87
15. Gesto de Incidentes de Segurana da Informao
88
89
90
Exerccios
57. (CESPE ABIN/2010 Oficial Tcnico de Inteligncia Suporte a Rede de
Dados 121) Funcionrios, fornecedores e terceiros devem ser instrudos a
averiguar, imediatamente, qualquer fragilidade na segurana de informao
suspeita.
Informao 78) Caso ocorra um evento de segurana de informao,
recomenda-se que o agente observador tome uma ao pessoal para mitigar o
risco e, em seguida, comunique o fato ao ponto de contato.
Informao 79) Aps um incidente de segurana de informao ser tratado,
um trabalho forense dever ser realizado sobre os originais do material de
evidncia.

Informao 80) A tomada de aes corretivas em tempo hbil depende da
notificao de fragilidades e ocorrncias de eventos de segurana da
informao.
91
17. Aspectos da Seg. Inf. na Gesto da Continuidade do Negcio
92
17. Aspectos da Seg. Inf. na Gesto da Continuidade do Negcio
93
18. Conformidade
94
18. Conformidade
95
18. Conformidade
96
18. Conformidade
97
Exerccios
Segurana da Informao 70) Na reviso peridica da conformidade dos
sistemas com as polticas e normas organizacionais de segurana, devem-se
incluir sistemas de informao, provedores de sistemas, proprietrios da
informao, ativos de informao, usurios e administrao.
Segurana da Informao 71) Controles de ambiente e software devem ser
corretamente implementados para que a validao da conformidade tcnica e
cientfica assegure que os sistemas de informao sejam verificados em
conformidade com as normas de segurana implementadas.
63. (CESPE MPU/2010 Analista de Informtica Banco de Dados 147) A

seo da norma em questo que trata de compliance prev aspectos para
assegurar a conformidade com polticas de segurana da informao, normas,
leis e regulamentos.
98
Gabarito
1. E
16. E
31. E
46. E
61. C
2. E
17. E
32. C
47. E
62. E
3. E
18. E
33. C
48. E
63. C
4. C
19. E
34. E
49. E
5. C
20. C
35. C
50. E
6. E
21. C
36. C
51. E
7. E
22. C
37. E
52. E
8. C
23. E
38. E
53. E
9. E
24. E
39. C
54. E
10. E
25. C
40. C
55. E
11. E
26. C
41. E
56. C
12. C
27. E
42. C
57. E
13. C
28. C
43. C
58. E
14. C
29. E
44. C
59. E
15. C
30. C
45. C
60. C
99

Curso Normas Tcu 2015 27002

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso Normas Tcu 2015 27002

Enviado por

Direitos autorais:

Formatos disponíveis

Curso Normas SI TCU 2015

Acesse nosso site em

Turmas em Braslia, na sua cidade, e cursos online

Professor Gleyson Azevedo gleyson@dominandoti.com.br

NBR ISO/IEC 27002 Viso Geral

NBR ISO/IEC 27002 Viso Geral

Essa norma sugere que a informao, como qualquer outro

Estes controles tm por finalidade atender aos requisitos

NBR ISO/IEC 27002 Viso Geral

(CESPE TJ-ES/2011 Analista Judicirio Anlise de Sistemas 98) A

(CESPE ABIN/2010 Oficial Tcnico de Inteligncia Desenvolvimento

(CESPE TCU/2010 Auditor Federal de Controle Externo Apoio

(CESPE MPU/2010 Analista de Informtica Banco de Dados 143) A

(CESPE MPU/2010 Analista de Informtica Banco de Dados 144) O

(CESPE TJ-ES/2011 Analista Judicirio Anlise de Suporte 97) Na

NBR ISO/IEC 27002 Organizao

NBR ISO/IEC 27002 Organizao

14. AQUISIO, DESENVOLVIMENTO E MANUTENO DE

(CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao

0. Introduo Requisitos de Segurana da Informao

conjunto de princpios, objetivos e requisitos de negcio.

0. Introduo Seleo de Controle

0. Introduo Desenvolvendo suas Prprias Diretrizes

0. Introduo Consideraes sobre o ciclo de vida

(CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao

selecionar controles dentro do processo de implementao

(CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao

O documento referenciado a seguir indispensvel

ISO/IEC 27000, Information technology Security

Overview and vocabulary

Para referncias datadas, aplicam-se somente as edies

Para os efeitos deste documento, aplicam-se os termos e

Ameaa causa potencial de um incidente indesejado,

Vulnerabilidade fragilidade de um ativo ou grupo de

Segurana da Informao preservao da

Controle meio de se gerenciar um risco, incluindo

NOTA: controle tambm utilizado como sinnimo de

4. Estrutura desta Norma

Esta Norma contm 14 sees de controles de segurana da

Sees cada seo definindo os controles de segurana

Categorias de controles cada seo principal contm:

um objetivo de controle declarando o que se espera que

um ou mais controles que podem ser aplicados para se

4. Estrutura desta Norma

Controle define a declarao especfica do controle, para

Diretrizes para implementao apresenta informaes

Informaes adicionais apresenta mais dados que

5. Polticas de Segurana da Informao

5. Polticas de Segurana da Informao

5. Polticas de Segurana da Informao

No nvel mais baixo, convm que a poltica de segurana da

5. Polticas de Segurana da Informao

transferncia da informao (ver 13.2);

proteo e privacidade da informao de identificao

5. Poltica de Segurana da Informao

5. Poltica de Segurana da Informao

16. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao

Professor gleyson Azevedo gleyson@dominandoti.com.br

6. Organizao da Segurana da Informao

6. Organizao da Segurana da Informao

6. Organizao da Segurana da Informao

7. Segurana em Recursos Humanos

7. Segurana em Recursos Humanos

7. Segurana em Recursos Humanos