Guia de Preparao

EXIN Fundamentos de Segurana da Informao baseado na norma ISO/IEC 27002

Edio Fevereiro 2013

Copyright 2013 EXIN

All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

2 2

Contedo
1 2 3 4 Viso Geral Requisitos do exame Lista de conceitos bsicos Literatura 4 7 12 15

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

3 3

1 Viso Geral
EXIN Fundamentos de Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR) Resumo Os Guias de Preparao so desenhados para auxiliar provedores de treinamentos a desenvolver cursos e materiais didticos que atendam aos requisitos do EXIN. O principal objetivo do Guia identificar os assuntos tratados no exame, os requisitos e espe cificaes do exame e o pblico -alvo para apoiar o desenvolvimento de novos cursos de alta qualidade. A segurana da informao a proteo das informaes de uma grande variedade de ameaas com o objetivo de assegurar a continuidade do negcio, minimizar o risco do negcio e maximizar o retorno sobre os investimentos e a s oportunidades de negcios. (Definio da norma ISO/IEC 27002) A segurana das informaes vem ganhando importncia no mundo da Tecnologia da Informao (TI). A globalizao da economia est gerando uma troca cada vez maior de informaes entre as organizaes (seus funcionrios, clientes e fornecedores) bem como uma exploso no uso de computadores em rede e dispositivos de informtica. A norma internacional, o Cdigo de Prtica para Segurana da Informao ISO/IEC 27002:2005, uma norma amplamente resp eitada e consultada e fornece uma estrutura para a organizao e o gerenciamento de um programa de segurana das informaes. A implementao de um programa com base nesta norma ser muito til para o objetivo de uma organizao de atender a muitas das necessidades apresentadas no complexo ambiente operacional da atualidade. Uma compreenso categrica desta norma importante para o desenvolvimento pessoal de todos os profissionais de segurana das informaes. Nos mdulos de Segurana da Informao do EXI N, utiliza-se a seguinte definio: A Segurana da Informao lida com a definio, a implementao, a manuteno, a conformidade e a avaliao de um conjunto coerente de controles (medidas) que garantam a disponibilidade, a integridade e a confidencialida de da fonte de informaes (manual e automtica). No mdulo Fundamentos de Segurana da Informao do EXIN baseado na norma ISO/IEC 27002 so testados os conceitos bsicos de segurana da informao e suas relaes. Um dos objetivos desse mdulo aumentar a conscientizao de que as informaes so valiosas e vulnerveis e aprender quais medidas so necessrias para proteg -las.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

4 4

Os tpicos para este mdulo so: Informao e segurana: os conceitos, o valor da informao e da importncia da confiabilidade. Ameaas e riscos: a relao entre as ameaas e confiabilidade. Abordagem e organizao: a poltica de segurana e estabelecimento da Segurana da Informao. Medidas: fsica, tcnica e organizacional. e Legislao e regulamentao: a importncia e funcionamento.

Contexto
Programa de qualificao

O Certificado de Gerenciamento Avanado de Segurana da Informao baseado na ISO/IEC 27002 segue o Certificado de EXIN Fundamentos de Segurana da Informao baseados na ISO/IEC 27002. O certificado em Fundamentos de Segurana da Informao do EXIN baseado na norma ISO/IEC 27002 faz parte do programa de qualificao em Segurana da Informao. O mdulo seguido pelos certificados de G erenciamento de Segurana da Informao Avanado do EXIN baseado na norma ISO/IEC 27002 e Gerenciamento de Segurana da Informao Especializado do EXIN baseado na norma ISO/IEC 27002.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

5 5

Pblico-alvo Qualquer pessoa na organizao que manuseia informaes. tambm aplicvel a proprietrios de pequenas empresas a quem alguns conceitos bsicos de Segurana da Informao so necessrios. Este mdulo pode ser um excelente ponto de partida para novos profissionais de segurana da informao. Pr-requisitos Nenhum Formato do exame Exame com questes de mltipla escolha Estimativa de Tempo de Estudo 60 horas Exerccio prtico No aplicvel Tempo destinado ao exame 60minutos Detalhes do exame Nmero de questes: Mnimo para aprovao: Com consulta: Equipamentos eletrnicos permitidos: Exemplos de questes Voc pode fazer o download do simulado e se preparar melhor para o exame acessando http://www.exin.com 40 65 % (26 de 40) no no

Curso
Quantidade de alunos em classe O nmero mximo de alunos em sala 25.

(Isso no aplicvel nos casos de ensino distncia / CBT - computer based training/e-learning)
Horas de contato O nmero mnimo de horas de contato durante o curso de 7 horas. Isso inclui as atividades em grupo, preparao para o exame, e coffee breaks, mas no inclui tarefas de casa, preparao da logstica de exame e horrio de almoo. Provedores de Treinamento A lista das empresas credenciadas para ministrar este e outros treinamentos do Exin encontra-se no nosso site: http://www.exin.com.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

6 6

2 Requisitos do exame
Os requisitos do exame so os principais temas de um mdulo. O candidato deve ter o domniocompleto sobre estes temas. Os requisitos do exame so elaborados na especificao do exame. Requisitos de exame 1 Informao e segurana 1.1 O conceito de informao 1.2 Valor da informao 1.3 Aspectos de confiabilidade 2 Ameaas e riscos 2.1 Ameaas e riscos 2.2 Relacionamento entre ameaas, riscos e confiabilidade da informao 3 Abordagem e organizao 3.1 Poltica de segurana e organizao de segurana 3.2 Componentes da organizao da segurana 3.3 Gerenciamento de incidentes 4 Medidas 4.1 Importncia de medidas de segurana 4.2 Medidas fsicas 4.3 Medidas tcnicas 4.4 Medidas organizacionais 5 Legislao e regulamentao 5.1 Legislao e regulamentao Total 10 10 10 10 10 10 100 2.5 2.5 5 40 15 15 2.5 2.5 5 30 Especificao de exame Peso (% ) 10

10

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

7 7

Requisitos e especificaes do exame

1. 1.1 Informao e Segurana (10%) O conceito de informao (2,5%) O candidato entende o conceito de informao. O candidato capaz de: 1.1.1 Explicar a diferena entre os dados e informaes 1.1.2 Descrever o meio de armazenamento que faz parte da infraestruturabsica Valor da informao (2,5%) O candidato entende o valor da informao para as organizaes. O candidato capaz de: 1.2.1 Descrever o valor de dados / informao para as organizaes 1.2.2 Descrever como o valor de dados / informaes pode influenciar as organizaes 1.2.3 Explicar como conceitos aplicados de segurana de informaes protegem o valor de dados / informaes Aspectos de confiabilidade (5%) O candidato conhece os aspectos de confiabilidade (confidencialidade, integridade, disponibilidade) da informao. O candidato capaz de: 1.3.1 Nome dos aspectos de confiabilidade da informao 1.3.2 Descrever os aspectos de confiabilidade da informao Ameaas e riscos (30%) Ameaa e risco (15%) O candidato compreende os conceitos de ameaa e risco. O candidato capaz de: 2.1.1 Explicar os conceitos de ameaa, de risco e anlise de risco 2.1.2 Explicar a relao entre uma ameaa e um risco 2.1.3 Descreva os vrios tipos de ameaas 2.1.4 Descreva os vrios tipos de danos 2.1.5 Descrever diferentes estratgias de risco

1.2

1.3

2. 2.1

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

8 8

2.2

Relacionamento entre ameaas, riscos e confiabilidade das informaes. (15%) O candidato compreende a relao entre as ameaas, riscos e confiabilidade das informaes. O candidato capaz de: 2.2.1 Reconhecer exemplos dos diversos tipos de ameaas 2.2.2 Descrever os efeitos que os vrios tipos de ameaas tm sobre a informao e ao tratamento das informaes Abordagem e Organizao (10%) Poltica de Segurana e organizao de segurana (2,5%) O candidato tem conhecimento da poltica de segurana e conceitos de organizao de segurana. O candidato capaz de: 3.1.1 enunciar os objetivos e o contedo de uma poltica de segurana 3.1.2 enunciar os objetivos e o contedo de uma organizao de segurana Componentes da organizao da segurana (2,5%) O candidato conhece as vrias componentes da organizao da segurana. O candidato capaz de: 3.2.1 Explicar a importncia de um cdigo de conduta 3.2.2 Explicar a importncia da propriedade 3.2.3 Nomear os mais importantes na organizao da segurana da informao Gerenciamento de Incidentes (5%) O candidato compreende a importncia da gesto de incidentes e es caladas. O candidato capaz de: 3.3.1 Resumir como incidentes de segurana so comunicados e as informaes que so necessrias 3.3.2 Dar exemplos de incidentes de segurana 3.3.3 Explicar as consequncias da no notificao de incidentes de segurana 3.3.4 Explicar o que implica uma escalada (funcional e hierrquico) 3.3.5 Descrever os efeitos da escalada dentro da organizao 3.3.6 Explicar o ciclo do incidente

3. 3.1

3.2

3.3

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

9 9

4. 4.1

Medidas (40%) Importncia das medidas de segurana (10%) O candidato entende a importncia de medidas de segurana. O candidato capaz de: 4.1.1 Descrever as maneiras pelas quais as medidas de segurana podem ser estruturadas ou organizadas 4.1.2 Dar exemplos de cada tipo de medida de segurana 4.1.3 Explicar a relao entre os riscos e medidas de segurana 4.1.4 Explicar o objetivo da classificao das informaes 4.1.5 Descrever o efeito da classificao Medidas de segurana fsica (10%) O candidato tem conhecimento tanto da criao e execuo de medidas de segurana fsica. O candidato capaz de: 4.2.1 Dar exemplos de medidas de segurana fsica 4.2.2 Descrever os riscos envolvidos com insuficientes medidas de segurana fsica Medidas de ordem tcnica (10%) O candidato tem conhecimento tanto da criao quanto da execuo de medidas de segurana tcnica. O candidato capaz de: 4.3.1 Dar exemplos de medidas de segurana tcnica 4.3.2 Descrever os riscos envolvidos com insuficie ntes medidas de segurana tcnica 4.3.3 Compreender os conceitos de criptografia, assinatura digital e certificado 4.3.4 Nome das trs etapas para a banca online (PC, web site, pagamento) 4.3.5 Nomear vrios tipos de software malicioso 4.3.6 Descrever as medidas que podem ser usadas contra software malicioso Medidas organizacionais (10%) O candidato tem conhecimento tanto da criao quanto da execuo de medidas de segurana organizacional. O candidato capaz de: 4.4.1 Dar exemplos de medidas de segurana organizacional 4.4.2 Descrever os perigos e riscos envolvidos com insuficientes medidas de segurana organizacional 4.4.3 Descrever as medidas de segurana de acesso, tais como a segregao de funes e do uso de senhas 4.4.4 Descrever os princpios de gesto de acesso 4.4.5 Descrever os conceitos de identificao, autenticao e autorizao 4.4.6 Explicar a importncia para uma organizao de um bem montado Gerenciamento da Continuidade de Negcios 4.4.7 Tornar clara a importncia da realizao de exerccios

4.2

4.3

4.4

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

10 10

5. 5.1

Legislao e regulamentao (10%) Legislao e regulamentos (10%) O candidato entende a importncia e os efeitos da legislao e regulamentaes. O candidato capaz de: 5.1.1 Explicar porque a legislao e as regulamentaes so importantes para a confiabilidade da informao 5.1.2 Dar exemplos de legislao relacionada segurana da informao 5.1.3 Dar exemplos de regulamentos relacionados segurana da informao 5.1.4 Indicar as medidas possveis que podem ser tomadas para cumprir as exigncias da legislao e regulamentao

Justificativa de escolhas Requisitos para o exame: justificativa da distribuio de peso. As medidas de segurana so, para a maioria do pessoal, os primeiros aspectos de Segurana da Informao que essas pessoas encontram. Consequentemente, as medidas so fundamentais para o mdulo e tm o maior peso. A seguir, ameaas e riscos em termos de peso. Finalmente, a percepo da poltica, organizao e legislao e regulamentao na rea de Segurana da Informao so necessrias para compreender a importncia das medidas de Segurana da Informao.

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

11 11

3 Lista de conceitos bsicos

Este captulo contm os termos com os quais os candidatos devem mostrar familiaridade. Os termos esto listados em ordem alfabtica . Ameaa Anlise da Informao Anlise de Risco Anlise de risco qualitativa Anlise quantitativa de risco Arquitetura da Informao Assinatura Digital Ativo Auditoria Autenticao Autenticidade Autorizao Avaliao de Riscos (anlise de dependncia e vulnerabilidade) Backup (Cpia de segurana) Biometria Botnet Categoria Certificado Chave Ciclo de Incidentes Classificao Cdigo de boas prticas de segurana da informao (ISO/IEC 27002:2005) Cdigo de conduta Completeza Confiabilidade das informaes Confidencialidade Conformidade Continuidade Medidas Controle de Acesso Corretiva Criptografia Dados Danos Danos diretos Danos indiretos Desastre Detectiva Threat Information analysis Risk Analysis Qualitative risk analysis Quantitative risk analysis Information Architecture Digital Signature Asset Audit Authentication Authenticity Authorization Risk Assessment (Dependency & Vulnerability analysis) Backup Biometrics Botnet Category Certificate Key Incident Cycle Classification Code of practice for information security (ISO/IEC 27002:2005) Code of conduct Completeness Reliability of information Confidentiality Compliance Continuity Controls Access Control Corrective Encryption Data Damage Direct damage Indirect damage Disaster Detective

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

12 12

Disponibilidade Engenharia Social Escalao Escalao funcional Escalao hierrquica Estratgia de Risco Reter riscos Evitar riscos Reduo de riscos Exatido Exclusividade Fator de produo Firewall pessoal Fornecedor Ininterrupto de Energia (UPS-Uninterruptible Power Supply) Gerenciamento da Continuidade de Negcios (GCN) Gerenciamento da Informao Gerenciamento da Mudana Gerenciamento de acesso lgico Gerenciamento de riscos Hacking Hoax Identificao Impacto Incidente de Segurana Informao Infraestrutura Infraestrutura de chave pblica (ICP) Integridade Interferncia ISO/IEC 27001:2005 ISO/IEC 27002:2005 Legislao de direitos autorais Legislao sobre Crimes de Informtica Legislao sobre proteo de dados pessoais Legislao sobre registros pblicos Malware Medida de segurana Meio de armazenamento No-repdio Oportunidade Organizao de Segurana Patch Phishing

Availability Social Engineering Escalation Functional escalation Hierarchical escalation Risk Strategy Risk bearing Risk avoiding Risk reduction Correctness Exclusivity Production factor Personal Firewall Uninterruptible power supply(UPS) Business Continuity Management (BCM) Information management Change Management Logical Access Management Risk Management Hacking Hoax Identification Impact Security incident Information Infrastructure Public Key Infrastructure (PKI) Integrity Interference ISO/IEC 27001:2005 ISO/IEC 27002:2005 Copyright legislation Computer criminality legislation Personal data protection legislation Public records legislation Malware Security measure Storage Medium Non-repudiation Opportunity Security organization Patch Phishing

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

13 13

Plano de Continuidade de Negcios (PCN) Plano de Recuperao de Desastre (PRD) Poltica de mesa limpa Poltica de Privacidade Poltica de Segurana Porta de Manuteno Preciso Preventiva Prioridade Rede privada virtual (RPV) Redutiva Regulamentao de segurana para informaes especiais p/ o governo Regulamentao de Segurana para o governo Repressiva Risco Robustez Rootkit Segregao de funes Sistema de Informao Spam Spyware Stand-by Trojan Urgncia Validao Verificao Vrus Vulnerabilidade Worm

Business Continuity Plan (BCP) Disaster Recovery Plan (DRP) Clear desk policy Privacy policy Security policy Maintenance door Precision Preventive Priority Virtual Private Network (VPN) Reductive Security regulations for special information for the government Security regulations for the government Repressive Risk Robustness Rootkit Segregation of duties Information system Spam Spyware Stand-by arrangement Trojan Urgency Validation Verification Virus Vulnerability Worm

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

14 14

4 Literatura
Literatura de Suporte para o Exame A Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H. Foundations ofInformation Security Based on ISO27001 and ISO27002 Van Haren Publishing, 2010 ISBN 978 90 8753 568 1 eBook ISBN 978 90 87 53 624 3

Viso geral da literatura Especificao do exame 1.1 1.2 1.3 2.1 2.2 3.1 3.2 3.3 4.1 4.2 4.3 4.4 5.1 Literatura A: A: A: A: A: A: A: A: A: A: A: A: A: Captulo 3, Captulo 4 Captulo 4 Captulo 4 Captulo 5 Captulo 5 Captulo 9 6.2, 6.4, Captulo 9 Captulo 6 Captulo 5, Captulo 6 Captulo 7 Captulo 8, Captulo 10 Captulo 9, Captulo 10 Captulo 11

Guia de Preparao de Documentos EXIN Fundamentos da Segurana da Informao baseado na normaISO/IEC 27002 (ISFS.PR)

15 15

Contato EXIN
www.exin.com