Guia de Preparao

EXIN Fundamentos
de Segurana da
Informao
baseado na norma
ISO/IEC 27002
Edio Junho 2015

Copyright 2015 EXIN

All rights reserved. No part of this publication may be published,
reproduced, copied or stored in a data processing system or
circulated in any form by print, photo print, microfilm or any other
means without written permission by EXIN.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

2 2

Contedo
1
2
3
4

Viso Geral
Requisitos do exame
Lista de conceitos bsicos
Literatura

4
7
12
15

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

3 3

1 Viso Geral
EXIN Fundamentos de Segurana da Informao baseado na norma ISO/IEC
27002 (ISFS.PR)
Resumo
A segurana da informao a proteo das informaes de uma grande
variedade de ameaas com o objetivo de assegurar a continuidade do negcio,
minimizar o risco do negcio e maximizar o retorno sobre os investimentos e as
oportunidades de negcios. (Definio da norma ISO/IEC 27002)
A segurana das informaes vem ganhando importncia no mundo da Tecnologia
da Informao (TI). A globalizao da economia est gerando uma troca cada vez
maior de informaes entre as organizaes (seus funcionrios, clientes e
fornecedores) bem como uma exploso no uso de computadores em rede e
dispositivos de informtica.
A norma internacional, o Cdigo de Prtica para Segurana da Informao
ISO/IEC 27002:2013, uma norma amplamente respeitada e consultada e fornece
uma estrutura para a organizao e o gerenciamento de um programa de
segurana das informaes. A implementao de um programa com base nesta
norma ser muito til para o objetivo de uma organizao de atender a muitas das
necessidades apresentadas no complexo ambiente operacional da atualidade.
Uma compreenso categrica desta norma importante para o desenvolvimento
pessoal de todos os profissionais de segurana das informaes.
Nos mdulos de Segurana da Informao do EXIN, utiliza-se a seguinte definio:
A Segurana da Informao lida com a definio, a implementao, a manuteno,
a conformidade e a avaliao de um conjunto coerente de controles (med idas) que
garantam a disponibilidade, a integridade e a confidencialidade da fonte de
informaes (manual e automtica).
No mdulo Fundamentos de Segurana da Informao do EXIN baseado na norma
ISO/IEC 27002 so testados os conceitos bsicos de segurana da informao e
suas relaes. Um dos objetivos desse mdulo aumentar a conscientizao de
que as informaes so valiosas e vulnerveis e aprender quais medidas so
necessrias para proteg-las.
Os tpicos para este mdulo so:

Informao e segurana: os conceitos, o valor da informao e da importncia

da confiabilidade.

Ameaas e riscos: a relao entre as ameaas e confiabilidade.

Abordagem e organizao: a poltica de segurana e estabelecimento da

Segurana da Informao.

Medidas: fsica, tcnica e organizacional.

e

Legislao e regulamentao: a importncia e funcionamento.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

4 4

Contexto
Programa de qualificao

O certificado em Fundamentos de Segurana da Informao do EXIN baseado na

norma ISO/IEC 27002 faz parte do programa de qualificao em Segurana da
Informao. O mdulo seguido pelos certificados de Gerenciamento de
Segurana da Informao Avanado do EXIN baseado na norma ISO/IEC 27002 e
Gerenciamento de Segurana da Informao Especializado do EXIN baseado na
norma ISO/IEC 27002.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

5 5

Pblico-alvo
Qualquer pessoa na organizao que manuseia informaes. tambm aplicvel a
proprietrios de pequenas empresas a quem alguns conceitos bsicos de Segurana
da Informao so necessrios. Este mdulo pode ser um excelente ponto de partida
para novos profissionais de segurana da informao.
Pr-requisitos
Nenhum
Formato do exame
Exame com questes de mltipla escolha
Estimativa de Tempo de Estudo
60 horas
Exerccio prtico
No aplicvel
Tempo destinado ao exame
60minutos
Detalhes do exame
Nmero de questes:
Mnimo para aprovao:
Com consulta:
Equipamentos eletrnicos permitidos:

40
65 % (26 de 40)
no
no

Exemplos de questes
Voc pode fazer o download do simulado e se preparar melhor para o exame
acessando http://www.exin.com

Curso
Quantidade de alunos em classe
O nmero mximo de alunos em sala 25.

(Isso no aplicvel nos casos de ensino distncia / CBT - computer based

training/e-learning)
Horas de contato
O nmero mnimo de horas de contato durante o curso de 7 horas. Isso inclui as
atividades em grupo, preparao para o exame, e coffee breaks, mas no inclui
tarefas de casa, preparao da logstica de exame e horrio de almoo.
Provedores de Treinamento
A lista das empresas credenciadas para ministrar este e outros treinamentos do
Exin encontra-se no nosso site: http://www.exin.com.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

6 6

2 Requisitos do exame
Os requisitos do exame so os principais temas de um mdulo. O candidato deve
ter o domnio completo sobre estes temas. Os requisitos do exame so elaborados
na especificao do exame.
Requisitos de exame

Especificao de exame

Peso
(% )

1 Informao e segurana

10
1.1 O conceito de informao
1.2 Valor da informao
1.3 Aspectos de confiabilidade

2.5
2.5
5

2 Ameaas e riscos

30
2.1 Ameaas e riscos
2.2 Relacionamento entre ameaas,
riscos e confiabilidade da informao

15
15

3 Abordagem e organizao

10
3.1 Poltica de segurana e
organizao de segurana
3.2 Componentes da organizao da
segurana
3.3 Gerenciamento de incidentes

2.5
2.5
5

4 Medidas

40
4.1 Importncia de medidas de
segurana
4.2 Medidas fsicas
4.3 Medidas tcnicas
4.4 Medidas organizacionais

10
10
10
10

5 Legislao e regulamentao
5.1 Legislao e regulamentao

10
10

Total

100

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

7 7

Requisitos e especificaes do exame

1.

Informao e Segurana (10%)

1.1

O conceito de informao (2,5%)

O candidato entende o conceito de informao.
O candidato capaz de:
1.1.1 Explicar a diferena entre os dados e informaes
1.1.2 Descrever o meio de armazenamento que faz parte da infraestrutura
bsica

1.2

Valor da informao (2,5%)

O candidato entende o valor da informao para as organizaes.
O candidato capaz de:
1.2.1 Descrever o valor de dados / informao para as organizaes
1.2.2 Descrever como o valor de dados / informao pode influenciar as
organizaes
1.2.3 Explicar como conceitos aplicados de segurana da informao protegem
o valor de dados / informao

1.3

Aspectos de confiabilidade (5%)

O candidato conhece os aspectos de confiabilidade (confidencialidade,
integridade, disponibilidade) da informao.
O candidato capaz de:
1.3.1 Nome dos aspectos de confiabilidade da informao
1.3.2 Descrever os aspectos de confiabilidade da informao

2.

Ameaas e riscos (30%)

2.1

Ameaa e risco (15%)

O candidato compreende os conceitos de ameaa e risco.
O candidato capaz de:
2.1.1 Explicar os conceitos de ameaa, risco e anlise de risco
2.1.2 Explicar a relao entre uma ameaa e um risco
2.1.3 Descreva os vrios tipos de ameaas
2.1.4 Descreva os vrios tipos de danos
2.1.5 Descrever diferentes estratgias de risco

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

8 8

2.2

Relacionamento entre ameaas, riscos e confiabilidade das informaes.

(15%)
O candidato compreende a relao entre as ameaas, riscos e confiabilidade
das informaes.
O candidato capaz de:
2.2.1 Reconhecer exemplos dos diversos tipos de ameaas
2.2.2 Descrever os efeitos que os vrios tipos de ameaas tm sobre a
informao e ao tratamento das informaes

3.

Abordagem e Organizao (10%)

3.1

Poltica de Segurana e organizao de segurana (2,5%)

O candidato tem conhecimento da poltica de segurana e conceitos de
organizao de segurana.
O candidato capaz de:
3.1.1 descrever os objetivos e o contedo de uma poltica de segurana
3.1.2 descrever os objetivos e o contedo de uma organizao de segurana

3.2

Componentes da organizao da segurana (2,5%)

O candidato conhece as vrias componentes da organizao da segurana.
O candidato capaz de:
3.2.1 Explicar a importncia de um cdigo de conduta
3.2.2 Explicar a importncia da propriedade
3.2.3 Nomear os mais importantes papis na organizao da segurana da
informao

3.3

Gerenciamento de Incidentes (5%)

O candidato compreende a importncia da gesto de incidentes e escaladas.
O candidato capaz de:
3.3.1 Resumir como incidentes de segurana so comunicados e as
informaes que so necessrias
3.3.2 Dar exemplos de incidentes de segurana
3.3.3 Explicar as consequncias da no notificao de incidentes de segurana
3.3.4 Explicar o que implica uma escalao (funcional e hierrquico)
3.3.5 Descrever os efeitos de uma escalao dentro da organizao
3.3.6 Explicar o ciclo do incidente

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

9 9

4.

Medidas (40%)

4.1

Importncia das medidas de segurana (10%)

O candidato entende a importncia de medidas de segurana.
O candidato capaz de:
4.1.1 Descrever as maneiras pelas quais as medidas de segurana podem ser
estruturadas ou organizadas
4.1.2 Dar exemplos de cada tipo de medida de segurana
4.1.3 Explicar a relao entre os riscos e medidas de segurana
4.1.4 Explicar o objetivo da classificao das informaes
4.1.5 Descrever o efeito da classificao

4.2

Medidas de segurana fsica (10%)

O candidato tem conhecimento tanto da criao e execuo de medidas de
segurana fsica.
O candidato capaz de:
4.2.1 Dar exemplos de medidas de segurana fsica
4.2.2 Descrever os riscos relacionados a medidas inadequadas de segurana
fsica

4.3

Medidas de ordem tcnica (10%)

O candidato tem conhecimento tanto da criao quanto da execuo de
medidas de segurana tcnica.
O candidato capaz de:
4.3.1 Dar exemplos de medidas de segurana tcnica
4.3.2 Descrever os riscos relacionados a medidas inadequadas de segurana
tcnica
4.3.3 Compreender os conceitos de criptografia, assinatura digital e certificado
4.3.4 Nome das trs etapas para internet banking (PC, web site, pagamento)
4.3.5 Nomear vrios tipos de software malicioso
4.3.6 Descrever as medidas que podem ser usadas contra software malicioso

4.4

Medidas organizacionais (10%)

O candidato tem conhecimento tanto da criao quanto da execuo de
medidas de segurana organizacional.
O candidato capaz de:
4.4.1 Dar exemplos de medidas de segurana organizacional
4.4.2 Descrever os perigos e riscos relacionados a medidas inadequadas de
segurana organizacional
4.4.3 Descrever as medidas de segurana de acesso, tais como a segregao
de funes e do uso de senhas
4.4.4 Descrever os princpios de gesto de acesso
4.4.5 Descrever os conceitos de identificao, autenticao e autorizao
4.4.6 Explicar a importncia para uma organizao de um bem montado
Gerenciamento da Continuidade de Negcios
4.4.7 Tornar clara a importncia da realizao de exerccios

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

10 10

5.

Legislao e regulamentao (10%)

5.1

Legislao e regulamentos (10%)

O candidato entende a importncia e os efeitos da legislao e
regulamentaes.
O candidato capaz de:
5.1.1 Explicar porque a legislao e as regulamentaes so importantes para
a confiabilidade da informao
5.1.2 Dar exemplos de legislao relacionada segurana da informao
5.1.3 Dar exemplos de regulamentaes relacionadas segurana da
informao
5.1.4 Indicar as medidas possveis que podem ser tomadas para cumprir as
exigncias da legislao e regulamentao

Justificativa de escolhas
Conceitos gerais de TI tais como Big Data, Cloud e Teleworking (trabalho remoto/
distncia) tambm devem ser parte dos conhecimentos gerais dos candidatos.
Requisitos para o exame: justificativa da distribuio de peso.
As medidas de segurana so, para a maioria do pessoal, os primeiros aspectos de
Segurana da Informao que essas pessoas encontram. Consequentemente, as
medidas so fundamentais para o mdulo e tm o maior peso. A seguir, ameaas e
riscos em termos de peso. Finalmente, a percepo da poltica, organizao e
legislao e regulamentao na rea de Segurana da Informao so necessrias
para compreender a importncia das medidas de Segurana da Informao.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

11 11

3 Lista de conceitos bsicos

Este captulo contm os termos com os quais os candidatos devem mostrar
familiaridade. Os termos esto listados em ordem alfabtica.

Acordo de confidencialidade
Ameaa
Anlise da Informao
Anlise de Risco
Anlise de risco qualitativa
Anlise quantitativa de risco
Arquitetura da Informao
Assinatura Digital
Ativo
Ativos de Negcios
Auditoria
Autenticao
Autenticidade
Autorizao
Avaliao de Riscos (anlise de
dependncia e vulnerabilidade)
Backup (Cpia de segurana)
Biometria
Botnet
Categoria
Certificado
Chave
Ciclo de Incidentes
Classificao
Cdigo de boas prticas de
segurana da informao
(ISO/IEC 27002:2013)
Cdigo de conduta
Completeza
Confiabilidade das informaes
Confidencialidade
Conformidade
Continuidade
Medidas
Controle de Acesso
Corretiva
Criptografia
Dados
Danos
Danos diretos
Danos indiretos
Desastre
Detectivo

Non-disclosure agreement
Threat
Information analysis
Risk Analysis
Qualitative risk analysis
Quantitative risk analysis
Information Architecture
Digital Signature
Asset
Business Assets
Audit
Authentication
Authenticity
Authorization
Risk Assessment (Dependency &
Vulnerability analysis)
Backup
Biometrics
Botnet
Category
Certificate
Key
Incident Cycle
Classification
Code of practice for information
security (ISO/IEC 27002:2013)
Code of conduct
Completeness
Reliability of information
Confidentiality
Compliance
Continuity
Controls
Access Control
Corrective
Encryption
Data
Damage
Direct damage
Indirect damage
Disaster
Detective

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

12 12

Disponibilidade
Engenharia Social
Escalao
Escalao funcional
Escalao hierrquica
Estratgia de Risco
Reter riscos
Evitar riscos
Reduo de riscos
Evento de segurana
Exatido
Exclusividade
Fator de produo
Firewall pessoal
Fornecedor Ininterrupto de
Energia (UPS-Uninterruptible
Power Supply)
Gerenciamento da Continuidade
de Negcios (GCN)
Gerenciamento da Informao
Gerenciamento da Mudana
Gerenciamento de acesso lgico
Gerenciamento de ativos de
negcios
Gerenciamento de riscos
Hacking
Hoax
Identificao
Impacto
Incidente de Segurana
Informao
Informaes secretas de
autenticao
Infraestrutura
Infraestrutura de chave pblica
(ICP)
Integridade
Interferncia
ISO/IEC 27001:2013
ISO/IEC 27002:2013
Legislao de direitos autorais
Legislao sobre Crimes de
Informtica
Legislao sobre proteo de
dados pessoais
Legislao sobre registros
pblicos
Malware
Medida de segurana
Meio de armazenamento
No-repdio

Availability
Social Engineering
Escalation
Functional escalation
Hierarchical escalation
Risk Strategy
Risk bearing
Risk avoiding
Risk reduction
Security event
Correctness
Exclusivity
Production factor
Personal Firewall
Uninterruptible power
supply(UPS)

Business Continuity Management

(BCM)
Information management
Change Management
Logical Access Management
Managing business assets

Risk Management
Hacking
Hoax
Identification
Impact
Security incident
Information
Secret authentication information

Infrastructure
Public Key Infrastructure (PKI)

Integrity
Interference
ISO/IEC 27001:2013
ISO/IEC 27002:2013
Copyright legislation
Computer criminality legislation

Personal data protection

legislation
Public records legislation

Malware
Security measure
Storage Medium
Non-repudiation

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

13 13

Oportunidade
Organizao de Segurana
Patch
Phishing
Plano de Continuidade de
Negcios (PCN)
Plano de Recuperao de
Desastre (PRD)
Poltica de mesa limpa
Poltica de Privacidade
Poltica de Segurana
Porta de Manuteno
Preciso
Preventiva
Prioridade
Provisionamento de acesso do
usurio
Rede privada virtual (RPV)
Redutiva
Redundncia
Regulamentao de segurana
para informaes especiais p/ o
governo
Regulamentao de Segurana
para o governo
Repressiva
Reviso da segurana da
informao
Risco
Robustez
Rootkit
Segregao de funes
Segurana em desenvolvimento
Sistema de Informao
Sistema de Deteco de Intrusos
(IDS)
Spyware
Stand-by
Teste de aceitao do sistema
Trojan
Urgncia
Validao
Verificao
Vrus
Vulnerabilidade
Worm

Opportunity
Security organization
Patch
Phishing
Business Continuity Plan (BCP)

Disaster Recovery Plan (DRP)

Clear desk policy

Privacy policy
Security policy
Maintenance door
Precision
Preventive
Priority
User access provisioning

Virtual Private Network (VPN)

Reductive
Redundancy
Security regulations for special
information for the government

Security regulations for the

government
Repressive
Information security review

Risk
Robustness
Rootkit
Segregation of duties
Security in development
Information system
Intrusion Detection System (IDS)

Spyware
Stand-by arrangement
System acceptance testing
Trojan
Urgency
Validation
Verification
Virus
Vulnerability
Worm

Justificativa de escolhas
Conceitos gerais de TI tais como Big Data, Cloud e Teleworking (trabalho remoto/
distncia) tambm devem ser parte dos conhecimentos gerais dos candidatos.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

14 14

4 Literatura
Literatura de Suporte para o Exame
A

Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H.

Foundations of Information Security Based on ISO27001 and ISO27002
Van Haren Publishing, third edition, 2015
ISBN 978 94 018 0012 9
eBook 978 94 018 0541 4

Viso geral da literatura

Especificao do
exame
1.1

Literatura
A:

Captulo 3

1.2

A:

Captulo 3 e 4

1.3

A:

Captulo 3 e 4

2.1

A:

Captulo 3

2.2

A:

Captulo 3 e 11

3.1

A:

Captulo 3, 5 e 6

3.2

A:

Captulo 6, 7, 8 e 13

3.3

A:

Captulo 3, 15 e 16

4.1

A:

Captulo 3, 8 e 16

4.2

A:

Captulo 3 e 11

4.3

A:

Captulo 6, 11 e 12

4.4

A:

Captulo 3, 6,9, 17 e 18

5.1

A:

Captulo 18

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

15 15

Contato EXIN
www.exin.com