Академический Документы
Профессиональный Документы
Культура Документы
Informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
3.
Introduo........................................................................................................................... 8
Objetivo............................................................................................................................. 14
6.
Pgina 1 de 58
6.11.
6.12.
6.13.
6.14.
6.15.
6.16.
Declarao de aplicabilidade..................................................................................... 18
7.
7.2.2.
7.2.3.
7.2.4.
Geral .......................................................................................................................... 28
7.3.2.
Controle de documentos........................................................................................... 29
7.3.3.
8.
www.tiparaconcursos.net
Pgina 2 de 58
8.2.2.
9.
Geral .......................................................................................................................... 34
10.2.
10.3.
11.2.
Ao corretiva ........................................................................................................... 36
11.3.
Ao preventiva......................................................................................................... 36
Caros alunos,
Para iniciarmos nossa aula de demonstrao, falarei um pouco sobre mim. Sou
Servidor Pblico Federal a mais de dezoito anos, onde desempenhei vrias funes
relacionadas rea de TI. Nos ltimos seis anos, trabalho na administrao, controle e
segurana de usurios lotados em sessenta e quatro Unidades Gestoras sediadas nos
estados do Rio de Janeiro e Esprito Santo, totalizando mais de cinco mil usurios de
diversos sistemas utilizados pela esfera federal, tais como: SIAFI, SIAFI Web, SIAFI Gerencial,
www.tiparaconcursos.net
Pgina 3 de 58
1. Apresentao do curso.
Nosso curso ter como foco atender a necessidade do concurseiro que ir fazer a
prova do TRT 13 Regio/PB e precisa ter conhecimento sobre o contedo referente ao
tpico Segurana da Informao, conforme abaixo descrito:
Segurana da Informao: normas NBR ISO/IEC: n 27001:2006, n 27002:2005, n
27005 e n 15999; Noes sobre poltica de backup: sistemas de cpia de segurana: tipos e
meios de armazenamento; vrus de computador e outros malwares (cavalos de troia,
adware, spyware, backdoors, keyloggers, worms, bots, botnets, rootkits); ataques e
protees relativos a hardware, software, sistemas operacionais, aplicaes, bancos de
dados, redes, pessoas e ambiente fsico; cartilha de segurana para internet do CERT.BR;
gerncia de riscos; classificao e controle dos ativos de informao; controles de acesso
fsico e lgico; plano de continuidade de negcio (plano de contingncia e de recuperao
de desastres); segurana de redes: Firewall, Sistemas de Preveno de Intruso (IPS),
antivrus, NAT, VPN, monitoramento e anlise de trfego; uso de sniffers; traffic shaping;
www.tiparaconcursos.net
Pgina 4 de 58
1.1. A Banca.
A Fundao Carlos Chagas uma banca com grande experincia em provas de
concursos pblicos que tratem das disciplinas de TI, s no ano de 2013, foram mais de uma
dezena de concursos organizados.
www.tiparaconcursos.net
Pgina 5 de 58
Aula
Aula
Demonstrativa
10/05/2014
Aula 1
17/05/2014
Aula 2
24/05/2014
Aula 3
31/05/2014
Aula 4
07/06/2014
Aula 5
www.tiparaconcursos.net
Pgina 6 de 58
Aula 6
21/06/2014
Aula 7
28/06/2014
Aula 8
05/07/2014
Aula 9
12/07/2014
Antivrus.
Ataques e protees relativos a hardware, software, sistemas
operacionais, aplicaes, bancos de dados, redes, pessoas e ambiente
fsico.
Cartilha de segurana para internet do CERT.BR.
Ataques e ameaas da Internet e de redes sem fio.
Segurana de redes: Firewall, Sistemas de Preveno de Intruso
Aula 10
17/07/2014
www.tiparaconcursos.net
Pgina 7 de 58
Criptografia;
conceitos
bsicos
de
criptografia;
sistemas
3. Introduo
Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:
3.1. Geral
Esta Norma foi preparada para prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de
Segurana da Informao (SGSI). Convm que a adoo de um SGSI seja uma deciso
estratgica para uma organizao. A especificao e a implementao do SGSI de uma
organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana,
processos empregados e tamanho e estrutura da organizao. esperado que estes e os
sistemas de apoio mudem com o passar do tempo. esperado que a implementao de um
SGSI seja escalada conforme as necessidades da organizao, por exemplo, uma situao
simples requer uma soluo de um SGSI simples.
Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas
internas e externas.
Pgina 8 de 58
Pgina 9 de 58
Pgina 10 de 58
Gabarito: A
Pgina 11 de 58
www.tiparaconcursos.net
Pgina 12 de 58
Esta Norma projetada para permitir a uma organizao alinhar ou integrar seu
SGSI com requisitos de sistemas de gesto relacionados.
IMPORTANTE - Esta publicao no tem o propsito de incluir todas as clusulas
necessrias a um contrato. Os usurios so responsveis pela sua correta aplicao.
www.tiparaconcursos.net
Pgina 13 de 58
4. Objetivo
Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:
4.1. Geral
Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos
comerciais, agncias governamentais, organizaes sem fins lucrativos). Esta Norma
especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de
negcio globais da organizao. Ela especifica requisitos para a implementao de controles
de segurana personalizados para as necessidades individuais de organizaes ou suas
partes.
O SGSI projetado para assegurar a seleo de controles de segurana adequados
e proporcionados para proteger os ativos de informao e propiciar confiana s partes
interessadas.
NOTA 1 - Convm que referncias a negcio nesta Norma sejam interpretadas, de modo
geral, tendo em vista as atividades que so essenciais aos objetivos de existncia da
organizao.
NOTA 2 - A ABNT NBR ISO/IEC 17799:2005 prov orientao para implementao que pode
ser usada quando da especificao de controles.
4.2. Aplicao
Os requisitos definidos nesta Norma so genricos e pretendido que sejam
aplicveis a todas as organizaes, independentemente de tipo, tamanho e natureza. A
excluso de quaisquer dos requisitos especificados nas sees 4, 5, 6, 7, e 8 no aceitvel
quando uma organizao reivindica conformidade com esta Norma.
www.tiparaconcursos.net
Pgina 14 de 58
2. (FCC - 2011 - TRT - 4 REGIO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre
organizaes do tipo
a) comerciais, somente.
b) governamentais, somente.
c) sem fins lucrativos, somente.
d) comerciais e governamentais, somente.
e) comerciais, governamentais e sem fins lucrativos.
Comentrio:
Veja o item 1.2 (Aplicao) da ISO 27001:
Os requisitos definidos nesta Norma so genricos e pretendido que sejam aplicveis a
todas as organizaes, independentemente de tipo, tamanho e natureza. A excluso de
quaisquer dos requisitos especificados nas sees 4, 5, 6, 7, e 8 no aceitvel quando uma
organizao reivindica conformidade com esta Norma.
Gabarito: E
www.tiparaconcursos.net
Pgina 15 de 58
5. Referncia normativa
O documento a seguir referenciado indispensvel para a aplicao desta Norma.
Para referncia datada, aplica-se apenas a edio citada. Para referncia no datada, aplicase a ltima edio do documento referenciado (incluindo as emendas).
ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao - Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao.
6. Termos e definies
Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.
6.1. Ativo
Qualquer coisa que tenha valor para a organizao. [ISO/IEC 13335-1:2004]
6.2. Disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por uma entidade
autorizada. [ISO/IEC 13335-1:2004]
6.3. Confidencialidade
Propriedade de que a informao no esteja disponvel ou revelada a indivduos,
entidades ou processos no autorizados. [ISO/IEC 13335-1:2004]
Pgina 16 de 58
6.8. Integridade
Propriedade de salvaguarda da exatido e completeza de ativos. [ISO/IEC 133351:2004]
www.tiparaconcursos.net
Pgina 17 de 58
3. (FCC - 2011 - TRT - 1 REGIO (RJ) De acordo com a NBR ISO/IEC 27001, integridade
a) a propriedade de a informao estar acessvel e utilizvel sob demanda por uma
entidade autorizada.
b) a propriedade de que a informao no esteja disponvel ou revelada a indivduos,
entidades ou processos no autorizados.
www.tiparaconcursos.net
Pgina 18 de 58
Pgina 19 de 58
www.tiparaconcursos.net
Pgina 20 de 58
Pgina 21 de 58
3) evitar riscos; e
4) transferir os riscos associados ao negcio a outras partes, por exemplo,
seguradoras e fornecedores.
g) Selecionar objetivos de controle e controles para o tratamento de riscos.
Objetivos de controle e controles devem ser selecionados e implementados para
atender aos requisitos identificados pela anlise/avaliao de riscos e pelo processo de
tratamento de riscos. Esta seleo deve considerar os critrios para aceitao de riscos
como tambm os requisitos legais, regulamentares e contratuais.
Os objetivos de controle e controles do anexo A devem ser selecionados como
parte deste processo, como adequados para cobrir os requisitos identificados.
Os objetivos de controle e controles listados no anexo A no so exaustivos, e
objetivos de controles e controles adicionais podem tambm ser selecionados.
NOTA - O anexo A contm uma lista detalhada de objetivos de controle e controles que
foram comumente considerados relevantes nas organizaes. Os usurios desta Norma so
direcionados para o anexo A como um ponto de partida para a seleo de controles, para
assegurar que nenhuma opo de controle importante seja negligenciada.
Pgina 22 de 58
Pgina 23 de 58
www.tiparaconcursos.net
Pgina 24 de 58
Pgina 25 de 58
8.3 Ao preventiva
A organizao deve determinar aes para eliminar as causas de noconformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia. As
aes preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas.
O procedimento documentado para ao preventiva deve definir requisitos para:
a) identificar no-conformidades potenciais e suas causas;
b) avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades;
c) determinar e implementar as aes preventivas necessrias;
d) registrar os resultados de aes executadas (ver 4.3.3); e
e) analisar criticamente as aes preventivas executadas.
A organizao deve identificar mudanas nos riscos e identificar requisitos de
aes preventivas focando a ateno nos riscos significativamente alterados.
A prioridade de aes preventivas deve ser determinada com base nos resultados
da anlise/avaliao de riscos.
NOTA - Aes para prevenir no-conformidades freqentemente tm melhor custowww.tiparaconcursos.net
Pgina 26 de 58
Pgina 27 de 58
Identificar
avaliar
as
opes
para
tratamento
de
riscos.
Pgina 28 de 58
www.tiparaconcursos.net
Pgina 29 de 58
8. Responsabilidades da direo
Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:
www.tiparaconcursos.net
Pgina 30 de 58
Pgina 31 de 58
Pgina 32 de 58
Pgina 33 de 58
10.1. Geral
A direo deve analisar criticamente o SGSI da organizao a intervalos planejados
(pelo menos uma vez por ano) para assegurar a sua contnua pertinncia, adequao e
eficcia. Esta anlise crtica deve incluir a avaliao de oportunidades para melhoria e a
necessidade de mudanas do SGSI, incluindo a poltica de segurana da informao e
objetivos de segurana da informao. Os resultados dessas anlises crticas devem ser
claramente documentados e os registros devem ser mantidos.
Pgina 34 de 58
11.Melhoria do SGSI
Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:
www.tiparaconcursos.net
Pgina 35 de 58
11.2. Ao corretiva
A organizao deve executar aes para eliminar as causas de no-conformidades
com os requisitos do SGSI, de forma a evitar a sua repetio. O procedimento documentado
para ao corretiva deve definir requisitos para:
a) identificar no-conformidades;
b) determinar as causas de no-conformidades;
c) avaliar a necessidade de aes para assegurar que aquelas no-conformidades
no ocorram novamente;
d) determinar e implementar as aes corretivas necessrias;
e) registrar os resultados das aes executadas; e
f) analisar criticamente as aes corretivas executadas.
11.3. Ao preventiva
A organizao deve determinar aes para eliminar as causas de noconformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia. As
aes preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas.
O procedimento documentado para ao preventiva deve definir requisitos para:
a) identificar no-conformidades potenciais e suas causas;
b) avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades;
c) determinar e implementar as aes preventivas necessrias;
d) registrar os resultados de aes executadas; e
www.tiparaconcursos.net
Pgina 36 de 58
www.tiparaconcursos.net
Pgina 37 de 58
www.tiparaconcursos.net
Pgina 38 de 58
www.tiparaconcursos.net
Pgina 39 de 58
www.tiparaconcursos.net
Pgina 40 de 58
www.tiparaconcursos.net
Pgina 41 de 58
www.tiparaconcursos.net
Pgina 42 de 58
www.tiparaconcursos.net
Pgina 43 de 58
www.tiparaconcursos.net
Pgina 44 de 58
www.tiparaconcursos.net
Pgina 45 de 58
www.tiparaconcursos.net
Pgina 46 de 58
www.tiparaconcursos.net
Pgina 47 de 58
www.tiparaconcursos.net
Pgina 48 de 58
www.tiparaconcursos.net
Pgina 49 de 58
www.tiparaconcursos.net
Pgina 50 de 58
www.tiparaconcursos.net
Pgina 51 de 58
www.tiparaconcursos.net
Pgina 52 de 58
www.tiparaconcursos.net
Pgina 53 de 58
14.Anexo C (informativo)
Correspondncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e
esta Norma:
Tabela C.1 Correspondncia entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO
14001:2004 e esta Norma
www.tiparaconcursos.net
Pgina 54 de 58
www.tiparaconcursos.net
Pgina 55 de 58
2. (FCC - 2011 - TRT - 4 REGIO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre
organizaes do tipo
a) comerciais, somente.
b) governamentais, somente.
c) sem fins lucrativos, somente.
d) comerciais e governamentais, somente.
e) comerciais, governamentais e sem fins lucrativos.
www.tiparaconcursos.net
Pgina 56 de 58
4. (FCC - 2012 - TRT - 11 Regio/AM) Segundo a norma ISO 27001, para se estabelecer o
Sistema de Gesto de Segurana da Informao (SGSI), considere:
I. A organizao deve definir uma poltica do SGSI nos termos das caractersticas do negcio,
a organizao, sua localizao, ativos e tecnologia que esteja alinhada com o contexto
estratgico de gesto de riscos da organizao no qual o estabelecimento e manuteno do
SGSI iro ocorrer.
II. A organizao deve definir a abordagem de anlise/avaliao de riscos da organizao e
desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco.
III. Identificar e avaliar as opes para o tratamento de riscos, sendo uma possvel ao
aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas
da organizao e aos critrios de aceitao de riscos.
Est correto o que se afirma em
a) I e II, apenas.
b) I e III, apenas.
c) II, apenas.
d) III, apenas.
e) I, II e III.
Pgina 57 de 58
16.Gabarito.
1. A
2. E
3. D
4. E
5. D
Um assunto um tanto quanto delicado, mas o rateio de material
crime e ns no TIParaConcursos.net no iremos tolerar tal prtica, visto os esforos
despendidos pelos nossos professores e sua respectiva valorizao.
Temos ainda meios de rastrearmos tal realizao em grupos de discusses e redes
sociais, de forma que tal prtica seja coibida.
DIREITOS AUTORAIS LEI 10.695/2003 No caso de violao de direitos de autor e
delitos conexos, a pena ser de deteno de trs meses a um ano ou multa. Se a infrao
tiver o intuito de lucro direito ou indireto, o agente poder ser condenado recluso de dois
a quatro anos e multa, tanto na hiptese de distribuio, venda ou aluguel no pas, quanto
no de oferecimento ao pblico via cabo, fibra tica e satlite.
CONCURSEIRO QUE PIRATEIA PODE FICAR IMPEDIDO DE TOMAR POSSE CASO SEJA
PROCESSADO.
www.tiparaconcursos.net
Pgina 58 de 58