Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Gleyson Azevedo Aula 00 1 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ Aula 00 – Gestão de Segurança da Informação – I Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ Prof. Gleyson Azevedo Prof. Gleyson Azevedo Aula 00 2 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ Sumário SUMÁRIO 2 APRESENTAÇÃO 3 VISÃO GERAL 5 NBR ISO/IEC 27001:2013 7 0. INTRODUÇÃO 9 1. ESCOPO 10 2. REFERÊNCIA NORMATIVA 11 3. TERMOS E DEFINIÇÕES 12 4. CONTEXTO DA ORGANIZAÇÃO 13 5. LIDERANÇA 14 6. PLANEJAMENTO 16 7. APOIO 18 8. OPERAÇÃO 20 9. AVALIAÇÃO DO DESEMPENHO 21 10. MELHORIA 22 QUESTÕES COMENTADAS PELO PROFESSOR 23 LISTA DE QUESTÕES 25 GABARITO 28 Prof. Gleyson Azevedo Aula 00 3 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ Apresentação Olá! Sou o professor Gleyson Azevedo e aqui no Direção Concursos ministro as disciplinas Redes de Computadores e Segurança da Informação. Sou formado em Engenharia de Telecomunicações pelo Instituto Militar de Engenharia (IME), Rio de Janeiro-RJ. Possuo Mestrado na área de Segurança da Informação pela mesma instituição e nessa área atuo há treze anos. Sou professor em cursos de pós-graduação nas áreas de Telecomunicações, de Redes de Computadores e de Segurança da Informação, participo frequentemente de seminários e de congressos proferindo palestras sobre temas como Criptografia, Segurança de Redes e Defesa Cibernética. Minha experiência com o mundo dos concursos teve início em 2008 e desde então tenho ministrado as disciplinas de Redes de Computadores e de Segurança da Informação em cursos preparatórios nas capitais de diversos estados de nosso país. Já ministrei aulas nas cidades de Brasília, Rio de Janeiro, Recife, Fortaleza, Belo Horizonte, Salvador e Manaus. Mais recentemente, tenho voltado minha atenção para o treinamento de técnicas de estudo, neuroaprendizagem e aprendizagem acelerada, sempre com foco na aprovação de alunos e orientandos em concursos públicos. A disciplina de Redes de Computadores costuma ser um problema para muitos concurseiros da área de Tecnologia da Informação (TI), em especial para quem não é do perfil de suporte ou de infraestrutura. Nosso trabalho aqui tem por objetivo torná-la absolutamente acessível para todos e temos convicção, após onze anos preparando e aprovando percentual expressivo de alunos nos mais diversos e importantes concursos do país, que iremos fazer o mesmo por você. Neste material você terá: Curso completo em VÍDEO teoria e exercícios resolvidos sobre TODOS os pontos do edital Curso completo escrito (PDF) teoria e MAIS exercícios resolvidos sobre TODOS os pontos do edital Fórum de Dúvidas para você sanar DIRETAMENTE conosco sempre que precisar Prof. Gleyson Azevedo Aula 00 4 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ Você está começando agora a estudar para concursos? Não se preocupe! Este curso também te atende. Veremos toda a teoria que você precisa e resolveremos muitos exercícios para que você possa praticar bastante cada aspecto estudado e entender bem como a banca gosta de cobrar cada tema. Minha recomendação nestes casos é que você comece assistindo as videoaulas, para em seguida enfrentar as aulas em PDF. Fique à vontade para me procurar no fórum de dúvidas sempre que for necessário. Caso você queira tirar alguma dúvida antes de adquirir o curso, basta me enviar um email (gleyson131@gmail.com) ou um direct pelo Instagram. Conheça ainda as minhas outras redes sociais para acompanhar de perto o meu trabalho: @gleysonazevedo /bloggleysonazevedo /gleyson131 mailto:gleyson131@gmail.com Prof. Gleyson Azevedo Aula 00 5 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ Visão Geral A série de normas ISO/IEC 27000 inclui padrões de segurança da informação publicados em conjunto pela Organização Internacional de Padronização (International Organization for Standardization – ISO) e pela Comissão Eletrotécnica Internacional (International Electrotechnical Commission – IEC). A série fornece recomendações de melhores práticas sobre gerenciamento de segurança da informação, que compreende o gerenciamento de riscos de segurança da informação por meio de controles, no contexto de um Sistema de Gestão de Segurança da Informação (SGSI), com desenho similar aos sistemas de gestão para garantia de qualidade (série ISO 9000), de proteção ambiental (série ISO 14000) e outros sistemas de gerenciamento. O escopo é deliberadamente amplo, abrangendo mais do que apenas questões que envolvem a privacidade ou confidencialidade e o contexto TI/técnico/cibersegurança. É aplicável a organizações de todas as formas e tamanhos. Todas as organizações são incentivadas a avaliar seus riscos de informação e tratá-los, normalmente empregando controles de segurança da informação, de acordo com suas necessidades, usando as orientações e sugestões quando relevantes. Dada a natureza dinâmica do risco e da segurança da informação, o conceito de SGSI incorpora atividades contínuas de feedback e aprimoramento para responder a mudanças nas ameaças, vulnerabilidades ou impactos de incidentes. Os padrões são produto do trabalho desenvolvido pelo Subcomitê 27 (SC27), do Comitê Técnico Conjunto 1 (JTC1) da ISO/IEC, um organismo internacional que se reúne pessoalmente duas vezes por ano. CONTEXTO HISTÓRICO Muitas pessoas e organizações estão envolvidas no desenvolvimento e manutenção dos padrões ISO27000. A primeira norma da série foi a ISO/IEC 17799:2000, que era baseada no padrão britânico BS 7799 parte 1: 1999. Por sua vez, a versão inicial do BS 7799 foi baseada, em parte, em um manual de política de segurança da informação desenvolvido pelo Royal Dutch/Shell Group entre o final dos anos 80 e início dos anos 90. Em 1993, o que era então o Departamento de Comércio e Indústria (Reino Unido) reuniu uma equipe para revisar as práticas existentes em segurança da informação, com o objetivo de produzir um documento normativo. Em 1995, o Grupo BSI publicou a primeira versão do BS 7799. A ISO/IEC 17799:2000 foi revisada em 2005 e teve seu nome modificado em 2007, passando a se chamar ISO/IEC 27002:2005. Essa norma foi revisada, dando origem à ISO/IEC 27002:2013. A segunda parte da BS7799 foi publicada pela primeira vez pela BSI em 1999, conhecida como BS 7799 Parte 2, e intitulada "Sistemas de Gestão de Segurança da Informação – Especificação com Orientações para Uso". A BS 7799-2 focou em como implementar um sistema de gestão de segurança da informação (SGSI), referindo-se à estrutura e aos controles necessários ao gerenciamento da segurança da informação identificados na BS 7799-2. Ela se tornou mais tarde a ISO/IEC 27001:2005. Por fim, a revisão dessa norma deu origem à atual ISO/IEC 27001:2013. Prof. Gleyson Azevedo Aula 00 6 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ A BS 7799 Parte 3 foi publicada em 2005, cobrindo análise e gerenciamento de riscos. Está alinhada com a ISO / IEC 27001: 2005 e fomentou a produção da norma ISO/IEC 27005:2008. A versão atual dessa norma é a NORMAS MAIS RELEVANTES Seguem abaixo as principais normas dessa família: • ISO/IEC 27000 – Princípios e Vocabulário. Define a nomenclatura utilizada nas normas seguintes da família 27000. • ISO/IEC 27001 – Tecnologia daInformação – Técnicas de segurança – Sistemas de Gestão de Segurança da Informação – Requisitos. Única norma da família 27000 que é passível de certificação acreditada. Todas as seguintes são apenas guias de boas práticas. • ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação. Apresenta um rol de objetivos de controle e de controles de segurança da informação. • ISO/IEC 27003 – Tecnologia da informação – Técnicas de Segurança – Sistemas de gestão de segurança da informação – Guia de Boas Práticas. Serve como guia para auxiliar a implantação de um SGSI na forma de projeto. • ISO/IEC 27004 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Monitorização, medição, análise e avaliação. Serve de orientação para a medição da eficácia de controles. • ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos da segurança da informação. Compreende parte essencial do processo executado para manter um SGSI. • ISO/IEC 27006 – Tecnologia da informação – Técnicas de segurança – Requisitos para corpo de auditoria e certificação de sistemas de gestão da segurança da informação. Utilizada por auditores, juntamente com a ISO/IEC 19011, para a realização de auditoria em organizações que desejem • ISO/IEC 27007 – Tecnologia da informação – Técnicas de segurança – Diretrizes para auditoria de sistemas de gestão da segurança da informação. Prof. Gleyson Azevedo Aula 00 7 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ NBR ISO/IEC 27001:2013 ESTRUTURA Conhecer a estrutura da norma é fundamental e é importante que se saiba exatamente os títulos e do que trata cada uma das seções. A norma ABNT NBR ISO/IEC 27001:2013 possui a seguinte estrutura: 0. Introdução 0.1 Geral 0.2 Compatibilidade com outras normas de sistemas de gestão 1. Escopo 2. Referência normativa 3. Termos e definições 4. Contexto da organização 4.1 Entendendo a organização e seu contexto 4.2 Entendendo as necessidades e as expectativas das partes interessadas 4.3 Determinando o escopo do sistema de gestão da segurança da informação 4.4 Sistema de gestão da segurança da informação 5. Liderança 5.1 Liderança e comprometimento 5.2 Política 5.3 Autoridades, responsabilidades e papéis organizacionais 6. Planejamento 6.1 Ações para contemplar riscos e oportunidades 6.2 Objetivo de segurança da informação e planejamento para alcançá-los 7. Apoio 7.1 Recursos 7.2 Competência 7.3 Conscientização 7.4 Comunicação Prof. Gleyson Azevedo Aula 00 8 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 7.5 Informação documentada 8. Operação 8.1 Planejamento operacional e controle 8.2 Avaliação de riscos de segurança da informação 8.3 Tratamento de riscos de segurança da informação 9. Avaliação do desempenho 9.1 Monitoramento, medição, análise e avaliação 9.2 Auditoria interna 9.3 Análise crítica pela Direção 10. Melhoria 10.1 Não conformidade e ação corretiva 10.2 Melhoria contínua Anexo A (normativo) – Referência aos controles e objetivos de controles Atenção especial deve ser dada ao anexo A desta norma, que é um quadro resumo com todos os objetivos de controle e controles da norma ABNT NBR ISO/IEC 27002:2013. Todavia, enquanto a 27001 só possui a citação dos controles, os detalhes e as diretrizes para implementação deles estão somente na norma 27002. Ao longo do texto a seguir, dê atenção especial a todas as partes que se encontrarem destacadas em negrito, pois além delas observarem pontos importantes do texto normativo, já foram ou possuem grande potencial de cobrança em questões de prova. Para facilitar a diferenciação, doravante, os comentários do professor estarão em itálico. Prof. Gleyson Azevedo Aula 00 9 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 0. Introdução 0.1 GERAL Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar continuamente (EIMM) um sistema de gestão de segurança da informação (SGSI). A adoção de um SGSI é uma decisão estratégica para uma organização. O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho e estrutura da organização. É esperado que todos estes fatores de influência mudem ao longo do tempo. O SGSI preserva a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente gerenciados. É importante que um SGSI seja parte de, e esteja integrado com, os processos da organização e com a estrutura de administração global, e que a segurança da informação seja considerada no projeto dos processos, sistemas de informação e controles. É esperado que a implementação de um SGSI seja planejada de acordo com as necessidades da organização. Esta Norma pode ser usada por partes internas e externas, para avaliar a capacidade da organização em atender aos seus próprios requisitos de segurança da informação. A ordem na qual os requisitos são apresentados nesta Norma não reflete sua importância nem implica a ordem em que devem ser implementados. Os itens listados são numerados apenas para fins de referência. 0.2 COMPATIBILIDADE COM OUTRAS NORMAS DE SISTEMAS DE GESTÃO Esta Norma aplica a estrutura de alto nível, os títulos de subseções idênticos, textos idênticos, termos comuns e definições básicas, apresentadas no Anexo SL da ISO/IEC Directives, Part 1, Consolidated ISO Supplement, mantendo desta forma a compatibilidade com outras normas de sistemas de gestão que adotaram o Anexo SL. Esta abordagem comum definida no Anexo SL será útil para aquelas organizações que escolhem operar um único sistema de gestão que atenda aos requisitos de duas ou mais normas de sistemas de gestão. O objetivo dessa subseção é dizer que, caso uma organização deseje possuir um sistema de gestão que compreenda a aplicação de duas ou mais normas de sistemas de gestão, como um sistema de gestão de qualidade (ISO 9001), um sistema de gestão ambiental (ISO 14001) e um SGSI (ISO 27001), esse processo seria facilitado devido a essas três normas possuírem estrutura idêntica, o que facilitaria o entendimento e a aplicação delas. Prof. Gleyson Azevedo Aula 00 10 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 1. Escopo Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização. Os requisitos definidos nesta Norma são genéricos e são pretendidos para serem aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável quando a organização busca a conformidade com esta Norma. Requisitos, segundo essa norma, são obrigações que devem ser atendidas para que se esteja em conformidade com o texto normativo. Eles estão dispostos entre as seções 4 e 10, inclusive. Desta forma, caso uma organização deseje pleitear obter a certificação com esta norma, ela não poderá deixar de, em hipótese alguma, cumprir todos requisitos previstos. É importante não confundir os requisitos da 27001com requisitos de segurança da informação. Estes últimos podem ser entendidos como necessidades de segurança e serão explicados adequadamente na discussão da norma 27002. Prof. Gleyson Azevedo Aula 00 11 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 2. Referência Normativa O documento relacionado a seguir é indispensável à aplicação deste documento: • ISO/IEC 27000, Information technology – Security techniques – Information security management systems – Overview and vocabular. Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento (incluindo emendas). A 27001:2006 colocava a norma 27002 como indispensável à sua aplicação. Na 27001:2013, a referência é exclusivamente a 27000, que é uma norma de definições e visão geral de segurança da informação. Prof. Gleyson Azevedo Aula 00 12 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 3. Termos e Definições Para os efeitos deste documento, aplicam-se os termos e definições apresentados na ISO/IEC 27000. A versão atual da norma não traz qualquer termo ou definição. Todavia, seguem alguns exemplos de termos e definições importantes presentes na versão antiga e que já foram objeto de cobrança em questões de prova: • Sistema de Gestão da Segurança da Informação (SGSI) – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar (EIOMAMM) a segurança da informação. Inclui: estrutura organizacional, políticas, planejamento de atividades, responsabilidades, práticas, procedimentos, processos e recursos. • Evento de segurança da informação – uma ocorrência identificada de um estado de sistema, serviço ou rede indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. • Incidente de segurança da informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Pode-se simplificadamente afirmar que é um conjunto de eventos e é crítico, enquanto o evento de segurança da informação é apenas relevante. • Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. • Confidencialidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. • Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. • Ativo – qualquer coisa que tenha valor para a organização. • Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização. Prof. Gleyson Azevedo Aula 00 13 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 4. Contexto da Organização A partir daqui começam os requisitos da norma 27001:2013. 4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO A organização deve determinar as questões internas e externas que são relevantes para o seu propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu SGSI. Nota: A determinação destas questões refere-se ao estabelecimento do contexto interno e externo da organização apresentado em 5.3 da ABNT NBR ISO 31000:2009. A despeito da norma ISO/IEC 27005 versar sobre riscos de segurança da informação, a norma 27001 não faz qualquer referência a ela em seu texto. Mais que isso: todas as referências que ela faz a norma que trate de riscos são direcionadas à 31000. 4.2 ENTENDENDO AS NECESSIDADES E AS EXPECTATIVAS DAS PARTES INTERESSADAS A organização deve determinar: • as partes interessadas que são relevantes para o SGSI; • os requisitos dessas partes interessadas relevantes para a segurança da informação. NOTA: Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares, bem como obrigações contratuais. 4.3 DETERMINANDO O ESCOPO DO SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO A organização deve determinar os limites e a aplicabilidade do SGSI para estabelecer o seu escopo. Quando da determinação deste escopo, a organização deve considerar: • as questões internas e externas referenciadas em 4.1; • os requisitos referenciados em 4.2; e • as interfaces e dependências entre as atividades desempenhadas pela organização e aquelas que são desempenhadas por outras organizações. O escopo deve estar disponível como informação documentada. Todas as vezes que a norma cita que algo deve estar disponível como informação documentada, isso significa que aquilo se trata de evidência de auditoria de que requisito(s) da norma está(ão) sendo cumprido(s). 4.4 SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO A organização deve estabelecer, implementar, manter e continuamente melhorar um SGSI, de acordo com os requisitos desta Norma. Prof. Gleyson Azevedo Aula 00 14 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 5. Liderança Esta é uma das seções mais cobradas da norma em questões de prova e o estudo dela deve ser o mais minucioso possível. 5.1 LIDERANÇA E COMPROMETIMENTO A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI pelos seguintes meios: • assegurando que a política de segurança da informação e os objetivos de segurança da informação estão estabelecidos e são compatíveis com a direção estratégica da organização; • garantindo a integração dos requisitos do SGSI dentro dos processos da organização; • assegurando que os recursos necessários para o SGSI estão disponíveis; • comunicando a importância de uma gestão eficaz da segurança da informação e da conformidade com os requisitos do SGSI; • assegurando que o SGSI alcança seus resultados pretendidos; • orientando e apoiando pessoas que contribuam para eficácia do SGSI; • promovendo a melhoria contínua; • apoiando outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às áreas sob sua responsabilidade. Apesar de todos os requisitos acima serem importantes, dê especial atenção aos três primeiros. Particularmente, perceba que o terceiro diz que a responsabilidade da alta direção no tocante a recursos é, especificamente, assegurar a sua disponibilidade. Compare com o disposto no item 7.1. 5.2 POLÍTICA A Alta Direção deve estabelecer uma política de segurança da informação que: • seja apropriada ao propósito da organização; • inclua os objetivos de segurança da informação (ver 6.2) ou forneça a estrutura para estabelecer os objetivos de segurança da informação; • inclua o comprometimento em satisfazer os requisitos aplicáveis, relacionados com a segurança da informação; • inclua o comprometimento com a melhoria contínua do SGSI. A política de segurança da informação deve: • estar disponível como informação documentada; • ser comunicada dentro da organização; e • estar disponível para as partes interessadas, conforme apropriado. 5.3 AUTORIDADES, RESPONSABILIDADES E PAPÉIS ORGANIZACIONAIS A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a segurança da informação sejam atribuídos e comunicados. A Alta Direção deve atribuir a responsabilidade e autoridade para: Prof. Gleyson Azevedo Aula 00 15 de 28 | www.direcaoconcursos.com.brSegurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ • assegurar que o SGSI está em conformidade com os requisitos da Norma; • relatar sobre o desempenho do SGSI para a Alta Direção. NOTA: A Alta Direção pode também atribuir responsabilidades e autoridades para relatar o desempenho do SGSI dentro da organização. Prof. Gleyson Azevedo Aula 00 16 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 6. Planejamento Assim como a anterior, esta é também uma seção bastante cobrada em questões de prova. Deve-se dar especial atenção aos itens 6.1.2, 6.1.3 e 6.2. 6.1 AÇÕES PARA CONTEMPLAR RISCOS E OPORTUNIDADES 6.1.1 GERAL A organização deve planejar: • as ações para considerar estes riscos e oportunidades; e • como • integrar e implementar estas ações dentro dos processos do seu SGSI; e • avaliar a eficácia destas ações. 6.1.2 AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que: • estabeleça e mantenha critérios de riscos de segurança da informação que incluam: • os critérios de aceitação do risco; e • os critérios para o desempenho das avaliações dos riscos de segurança da informação; • assegure que as contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis, válidos e consistentes; • identifique os riscos de segurança da informação: • analise os riscos de segurança da informação: • avalie os riscos de segurança da informação: • compare os resultados da análise dos riscos com os critérios de riscos estabelecidos; e • priorize os riscos analisados para o tratamento do risco. A organização deve reter informação documentada sobre o processo de avaliação de risco de segurança da informação. É importante observar duas questões aqui: 1) o processo de avaliação de riscos descrito aqui contempla o estabelecimento de critérios de risco, que não é tarefa efetivamente relacionada a esse processo, mas à definição de contexto, segundo a norma 27005; 2) maiores detalhes sobre as ações executadas em cada uma das fases do processo de avaliação de riscos serão vistos no estudo da norma 27005. 6.1.3 TRATAMENTO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para: • selecionar as opções de tratamento dos riscos, levando em consideração os resultados da avaliação do risco; Prof. Gleyson Azevedo Aula 00 17 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ • determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco; • comparar os controles determinados com aqueles do Anexo A e verificar se algum controle necessário foi omitido; • elaborar uma declaração de aplicabilidade que contenha os controles necessários e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A; • preparar um plano para tratamento dos riscos de segurança da informação; • obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação. A organização deve reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação. NOTA: O processo de tratamento e a avaliação dos riscos de segurança da informação desta Norma estão alinhados com os princípios e diretrizes gerais definidos na ABNT NBR ISO 31000. Na 27001:2006, os controles eram escolhidos tendo como referência inicial o anexo A da norma e depois outros controles podiam complementar o rol de escolhas. Na versão atual, a ordem é: primeiro são escolhidos os controles desejáveis, depois a lista é comparada com o anexo A para verificar eventuais omissões. Mais uma vez a norma citada no tocante ao gerenciamento de riscos é a 31000 e não a 27005, como se poderia imaginar. 6.2 OBJETIVO DE SEGURANÇA DA INFORMAÇÃO E PLANEJAMENTO PARA ALCANÇÁ-LOS A organização deve estabelecer os objetivos de segurança da informação para as funções e níveis relevantes. Os objetivos de segurança da informação devem ser: • consistentes com a política de segurança da informação; • ser mensuráveis (quando aplicável); • levar em conta os requisitos de segurança da informação aplicáveis e os resultados da avaliação e tratamento dos riscos; • ser comunicados; e • ser atualizados, conforme apropriado. A organização deve reter informação documentada dos objetivos de segurança da informação. Quando do planejamento para alcançar os seus objetivos de segurança da informação, a organização deve determinar: • o que será feito; • quais recursos serão necessários; • quem será responsável; • quando estará concluído; • como os resultados serão avaliados. Prof. Gleyson Azevedo Aula 00 18 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 7. Apoio Uma diferença marcante entre a 27001:2013 e a 27001:2006 está na não citação textual do ciclo PDCA na versão mais recente. Depreende-se que este ciclo ocorre de forma implícita, mas não é citado diretamente. A despeito disso, é comum a percepção de que as seções 4 a 7 compreenderiam o processo de planejamento (Plan), a seção 8 a execução (Do), a seção 9 a verificação (Check) e a seção 10 a ação corretiva (Act). Fazendo paralelo disso com os verbos auxiliares comumente empregados em relação a essas etapas do PDCA, a saber, estabelecer (Plan), implementar e operar (Do), monitorar e analisar criticamente (Check), manter e melhorar (Act), pode-se afirmar que as seções 4 a 7 correspondem ao estabelecimento do SGSI. Esse tipo de associação já foi objeto de cobrança em provas de concurso público. 7.1 RECURSOS A organização deve determinar e prover recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do SGSI. Observe que nesta norma há dois requisitos relacionados com recursos e com dois responsáveis distintos: 1) determinar e prover recursos – a organização; 2) assegurar a disponibilidade de recursos – alta direção (ver 5.1 da norma). 7.2 COMPETÊNCIA A organização deve: • determinar a competência necessária das pessoas que realizam trabalho sob o seu controle e que afeta o desempenho da segurança da informação; • assegurar que essas pessoas são competentes, com base na educação, treinamento ou experiência apropriados; • onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das ações tomadas; e • reter informação documentada apropriada como evidência da competência. NOTA: ações apropriadas podem incluir, por exemplo: fornecimento de treinamento para os facilitadores, os funcionários atuais ou pessoas competentes, próprias ou contratadas. 7.3 CONSCIENTIZAÇÃO Pessoas que realizam trabalho sob o controle da organização devem estar cientes da: • política de segurança da informação; • suas contribuições para a eficácia do SGSI, incluindo os benefícios da melhoria do desempenho da segurança da informação; • implicações da não conformidade com os requisitos do SGSI. Prof. Gleyson Azevedo Aula 00 19 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 7.4 COMUNICAÇÃO A organização deve determinar as comunicações internas e externas relevantes para o SGSI incluindo: • o que comunicar; • quando comunicar; • quem comunicar; • quem será comunicado; e • o processo pelo qual a comunicação será realizada.7.5 INFORMAÇÃO DOCUMENTADA 7.5.1 GERAL O SGSI da organização deve incluir: • informação documentada requerida por esta Norma; • informação documentada determinada pela organização como sendo necessária para a eficácia do SGSI. 7.5.2 CRIANDO E ATUALIZANDO Quando da criação e atualização da informação documentada, a organização deve assegurar, de forma apropriada: • identificação e descrição (por exemplo, título, data, autor ou um número de referência); • formato (por exemplo, linguagem, versão do software, gráficos) e o seu meio (por exemplo, papel, eletrônico); • análise crítica e aprovação para pertinência e adequação. 7.5.3 CONTROLE DA INFORMAÇÃO DOCUMENTADA A informação documentada requerida pelo SGSI e por esta Norma deve ser controlada para assegurar que: • esteja disponível e adequada para o uso, onde e quando necessário; • esteja protegida adequadamente (por exemplo, contra perda de confidencialidade, uso indevido ou perda de integridade). Para o controle da informação documentada, a organização deve considerar as seguintes atividades, conforme aplicadas: • distribuição, acesso, recuperação e uso; • armazenagem e preservação, incluindo a preservação da legibilidade; • controle de mudanças (por exemplo, controle de versão); • retenção e disposição. A informação documentada de origem externa, determinada pela organização como necessária para o planejamento e operação do SGSI, deve ser identificada como apropriado, e controlada. NOTA: O acesso implica em uma decisão quanto à permissão para apenas ler a informação documentada ou a permissão e autoridade para ver e alterar a informação documentada. Prof. Gleyson Azevedo Aula 00 20 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 8. Operação 8.1 PLANEJAMENTO OPERACIONAL E CONTROLE A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos de segurança da informação e para implementar as ações determinadas em 6.1. A organização deve também implementar planos para alcançar os objetivos de segurança da informação determinados em 6.2. A organização deve manter a informação documentada na abrangência necessária para gerar confiança de que os processos estão sendo realizados conforme planejado. A organização deve controlar as mudanças planejadas e analisar criticamente as consequências de mudanças não previstas, tomando ações para mitigar quaisquer efeitos adversos, conforme necessário. A organização deve assegurar que os processos terceirizados estão determinados e são controlados. 8.2 AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO A organização deve realizar avaliações de riscos de segurança da informação a intervalos planejados, ou quando mudanças significativas são propostas ou ocorrem, levando em conta os critérios estabelecidos em 6.1.2. A organização deve reter informação documentada dos resultados das avaliações de risco de segurança da informação. Observe que, diferentemente do disposto em 6.1.2, onde a organização deveria “definir e aplicar um processo de avaliação de riscos de segurança da informação”, aqui a atribuição é de realização da avaliação de risco, o que corrobora a visão de planejamento da seção 6 em contraste com a execução, que é o objetivo da seção 8. 8.3 TRATAMENTO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO A organização deve implementar o plano de tratamento de riscos de segurança da informação. A organização deve reter informação documentada dos resultados do tratamento dos riscos. Em relação ao disposto em 6.1.3, o disposto aqui corresponde à finalização do processo de tratamento de risco, que compreenderia a implementação do plano elaborado na fase de planejamento. Prof. Gleyson Azevedo Aula 00 21 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 9. Avaliação do desempenho 9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO A organização deve avaliar o desempenho da segurança da informação e a eficácia do SGSI. A organização deve determinar: • o que precisa ser monitorado e medido, incluindo controles e processos de segurança da informação; • os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para assegurar resultados válidos; • quando o monitoramento e a medição devem ser realizados; • o que deve ser monitorado e medido; • quando os resultados do monitoramento e da medição devem ser analisados e avaliados; • quem deve analisar e avaliar estes resultados. A organização deve reter informação documentada apropriada como evidência do monitoramento e dos resultados da medição. 9.2 AUDITORIA INTERNA A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o SGSI está em conformidade com os próprios requisitos da organização e com os requisitos desta Norma e está efetivamente implementado e mantido. Duas observações importantes: 1) a responsabilidade pela condução das auditorias internas é da organização e não da alta direção ou qualquer outra entidade; 2) a norma não determina uma periodicidade específica para essas auditorias. 9.3 ANÁLISE CRÍTICA PELA DIREÇÃO A Alta Direção deve analisar criticamente o SGSI da organização a intervalos planejados, para assegurar a sua contínua adequação, pertinência e eficácia. Os resultados da análise crítica pela Direção devem incluir decisões relativas a oportunidades para melhoria contínua e quaisquer necessidades para mudanças do SGSI. A organização deve reter informação documentada como evidência dos resultados das análises críticas pela Direção. A “análise crítica” nessa e em outras normas é um processo que tem como entrada uma série de informações, inclusive análises crítica anteriores, e produz como saída tipicamente decisões voltadas para melhoria. Repare que nesta norma os requisitos relacionados com a alta direção não ficam restritos à seção 5. Prof. Gleyson Azevedo Aula 00 22 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 10. Melhoria 10.1 NÃO CONFORMIDADE E AÇÃO CORRETIVA Quando uma não conformidade ocorre, a organização deve: • reagir a não conformidade e, conforme apropriado: • tomar ações para controlar e corrigi-la; e • tratar com as consequências; • avaliar a necessidade de ações para eliminar as causas de não conformidade, para evitar sua repetição ou ocorrência, por um dos seguintes meios: • analisando criticamente a não conformidade; • determinando as causas da não conformidade; e • determinando se não conformidades similares existem, ou podem potencialmente ocorrer. • implementar quaisquer ações necessárias; • analisar criticamente a eficácia de quaisquer ações corretivas tomadas; e • realizar mudanças no sistema de gestão da segurança da informação, quando necessário. As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas. A organização deve reter informação documentada como evidência da: • natureza das não conformidades e quaisquer ações subsequentes tomadas; e • resultados de qualquer ação corretiva. A versão anterior dessa norma contemplava, além das ações corretivas, outras de natureza preventiva, que deviam ser adotadas como solução para não conformidades potenciais. Na versão atual não há citação desse tipo de não conformidade, nem tampouco de ações preventivas. 10.2 MELHORIA CONTÍNUA A organização deve continuamente melhorar a pertinência, adequação e eficácia do SGSI. Prof. Gleyson Azevedo Aula 00 23 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ Questões comentadaspelo professor 1. (CESPE – TCU – Auditor Federal de Controle Externo – Auditoria de Tecnologia da Informação – 2015) Na especificação e na implementação do SGSI, devem se considerar as necessidades, os objetivos e os requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua estrutura. Comentários: Segundo a subseção 0.1 da norma, “o estabelecimento e a implementação do SGSI de uma organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho e estrutura da organização.” Resposta: item ERRADO. 2. (CESPE – TCE-PA – Auditor de Controle Externo – Analista de Segurança – 2016) Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI. Comentários: De acordo com a seção 1 da norma 27001, que define o seu escopo, “a exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável quando a organização busca a conformidade com esta Norma”. Resposta: item ERRADO. 3. (CESPE – PJM-CGM – Auditor Municipal de Controle Interno – Desenvolvimento de Sistemas – 2018) As organizações devem estabelecer os objetivos de segurança da informação de forma independente de sua política de segurança da informação. Comentários: De acordo com a subseção 5.2 da norma 27001, a política de segurança da informação deve incluir os objetivos de segurança da informação ou fornecer estrutura para estabelecê-los. Ainda de acordo com a subseção 6.2 da referida norma, os objetivos de segurança da informação devem ser consistentes com a política de segurança da informação. Resposta: item ERRADO. 4. (CESPE – PJM-CGM – Auditor Municipal de Controle Interno – Desenvolvimento de Sistemas – 2018) A referida norma prevê que as organizações estabeleçam e mantenham critérios de riscos de segurança da informação que incluam os critérios de aceitação do risco. Comentários: O texto da questão está em concordância com o disposto na subseção 6.1.2, que afirma: “A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que Prof. Gleyson Azevedo Aula 00 24 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ estabeleça e mantenha critérios de riscos de segurança da informação que incluam os critérios de aceitação do risco”. Resposta: item CERTO. 5. (CESPE – MEC-OS – Administrador de Rede – 2015) De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema de gerenciamento de segurança da informação. Comentários: Nessa norma não há referência a outra modalidade de auditoria que não seja a interna, que é um dos processos mais relevantes que integra o ciclo do SGSI e que é detalhada na subseção 9.2. Resposta: item ERRADO. Prof. Gleyson Azevedo Aula 00 25 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ Lista de Questões 1. (CESPE – BB CERTIFICAÇÃO – 19.º CERTAME – Gestão de Segurança – 2016) A norma ABNT NBR ISO/IEC 27001: 2013 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. De acordo com essa norma, a alta direção é responsável por ações específicas no que concerne à liderança e comprometimento, à política da informação de segurança, às autoridades, responsabilidades e papéis organizacionais. ABNT NBR ISO/IEC 27001 :2013 (com adaptações). Uma ação específica da alta direção da organização, no que concerne à política de segurança da informação, é a de (A) incluir o seu comprometimento com a melhoria contínua do sistema de gestão da segurança da informação. (B) apoiar outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às áreas sob sua responsabilidade. (C) assegurar que a política de segurança da informação está estabelecida e é compatível com a direção estratégica da organização. (D) comunicar a importância de uma gestão eficaz da segurança da informação e da conformidade com os requisitos do sistema de gestão da segurança da informação. (E) atribuir responsabilidade e autoridade para assegurar que o sistema de gestão da segurança da informação está em conformidade com os requisitos da norma ABNT NBR ISO/IEC 27001. 2. (CESPE – TRT-7 – Analista Judiciário – Tecnologia da Informação – 2017) De acordo com a ABNT NBR ISO/IEC 27001, a alta direção da organização tem papel fundamental no sistema de gestão de segurança da informação (SGSI). Nesse contexto, ela deve estabelecer uma política de segurança da informação que (A) inclua o comprometimento com a melhoria contínua do SGSI. (B) reduza efeitos indesejados. (C) informe responsáveis por cada ativo de informação. (D) crie mecanismos de avaliação de riscos compatíveis com o framework Cobit 5. 3. (CESPE – TRT-8 – Analista Judiciário – Tecnologia da Informação – 2015) De acordo com a norma NBR ISO/IEC 27001, a organização deve definir uma política do SGSI que (A) esteja alinhada com o contexto estratégico de gestão de riscos da organização. (B) seja escrita essencialmente com base em um modelo de SGSI padronizado para organizações de porte similar. (C) inclua, em seu texto, um estudo detalhado dos riscos previamente avaliados. (D) seja elaborada pela direção e formalmente aprovada pela maioria dos empregados da organização. (E) seja totalmente independente de requisitos legais e desvinculada de obrigações contratuais. Prof. Gleyson Azevedo Aula 00 26 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 4. (CESPE – CGE-CE – Analista de Tecnologia da Informação –Desenvolvimento de Sistemas – 2019) De acordo com NBR ISO/IEC 27001, em um sistema de gestão de segurança da informação (SGSI), o escopo é definido na fase (A) melhorar. (B) analisar. (C) estabelecer. (D) implementar. (E) manter. 5. (CESPE – TCE-RO – Analista de Tecnologia da Informação – Desenvolvimento de Sistemas – 2019) De acordo com a NBR ISO/IEC n.º 27001:2013, a alta direção de uma organização deve demonstrar liderança e comprometimento em relação ao sistema de gestão da segurança da informação. Para isso, ela deve I assegurar que a política de segurança da informação seja compatível com a direção estratégica da organização. II comunicar a importância da conformidade com os requisitos do sistema de gestão da segurança da informação. III analisar criticamente os códigos quanto ao uso de técnicas de programação segura. IV orientar pessoas que contribuam para a eficácia do sistema de gestão da segurança da informação. Estão certos apenas os itens A I e II. B I e III. C III e IV. D I, II e IV. E II, III e IV. Com base no disposto na NBR ISO/IEC 27001:2013, julgue o item a seguir, relativo à gestão de segurança da informação. 6. (CESPE – TCE-PA – Auditor de Controle Externo – Analista de Segurança – 2016) Devido a seu conteúdo confidencial e estratégico, a política de segurança da informação de uma organização deve estar disponível, como informação documentada, exclusivamente para a alta gerência. 7. (CESPE – PMJP-CMJP – Auditor Municipal de Controle Interno – Tecnologia da Informação – Desenvolvimento de Sistemas – 2018) A organização deve determinar e prover recursos necessários a estabelecimento, implementação, manutenção e melhoria contínua do sistema de gestão de segurança da informação (SGSI). 8. (CESPE – TCE-PA – Auditor de Controle Externo – Analista de Segurança – 2016) Para reivindicar conformidade coma referida norma, uma organização poderá excluir, sem justificativas formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI. Prof. Gleyson Azevedo Aula 00 27 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ 9. (CESPE – TJDFT – Analista Judiciário – Análise de Sistemas – 2015) Embora destituída da norma ISO/IEC 27001, a condução de auditorias internas deve ser realizada no sistema de gestão da segurança da informação (SGSI) a fim de conferência quanto à qualidade da execução das atividades de controle. 10. (CESPE – STJ – Analista Judiciário – Suporte em Tecnologia da Informação – 2015) De acordo com a norma ISO 27001, o sistema de gerenciamento da segurança da informação deve ser revisado regularmente, considerando-se as sugestões e os feedbacks das partes interessadas. Prof. Gleyson Azevedo Aula 00 28 de 28 | www.direcaoconcursos.com.br Segurança da Informação – Analista de Controle Externo – Tecnologia da Informação – TCE-RJ Gabarito 1. C 2. A 3. A 4. C 5. D 6. E 7. C 8. E 9. E 10. C
Compartilhar