Baixe o app para aproveitar ainda mais
Prévia do material em texto
Infra de TI e Segurança da informação – Gestão de segurança da informação – Aula 01 – Teoria e Exercícios Página 1 de 66 AULA 01: Normas NBR ISO/IEC 27001 e 27002 Sumário 1. Apresentação do curso .......................................................................................................... 3 1.1. A Banca ................................................................................................................................ 3 1.2. Metodologia das aulas ......................................................................................................... 3 2. Conteúdo programático e planejamento das aulas (Cronograma) ....................................... 4 3. Informações iniciais ............................................................................................................... 4 4. Introdução .............................................................................................................................. 5 4.1. Abordagem de processo ...................................................................................................... 5 4.2. Compatibilidade com outros sistemas de gestão ................................................................ 8 5. Objetivo ................................................................................................................................ 10 5.1. Aplicação ............................................................................................................................ 11 6. Termos e definições ............................................................................................................. 12 7. Sistema de gestão de segurança da informação ................................................................. 17 7.1. Estabelecendo e gerenciando o SGSI ................................................................................ 17 7.1.1. Implementar e operar o SGSI - A organização deve ...................................................... 22 7.1.2. Monitorar e analisar criticamente o SGSI - A organização deve ................................... 22 7.1.3. Manter e melhorar o SGSI – A organização deve regularmente: .................................. 24 7.2. Requisitos de documentação - A documentação do SGSI deve incluir ............................. 25 7.2.1. Controle de documentos ............................................................................................... 26 7.2.2. Controle de registros ..................................................................................................... 27 8. Responsabilidades da direção .............................................................................................. 29 8.1. Gestão de recursos ............................................................................................................ 29 8.1.1. Treinamento, conscientização e competência .............................................................. 30 9. Auditorias internas do SGSI ................................................................................................. 30 Infra de TI e Segurança da informação – Gestão de segurança da informação – Aula 01 – Teoria e Exercícios Página 2 de 66 10. Análise crítica do SGSI pela direção .................................................................................... 31 10.1. Entradas para a análise crítica devem incluir ................................................................. 32 10.2. Saídas da análise crítica .................................................................................................. 32 11. Melhoria do SGSI ................................................................................................................ 33 11.1. Ação corretiva ................................................................................................................. 33 11.2. Ação preventiva .............................................................................................................. 34 12. Objetivos de controle e controles ...................................................................................... 35 13. Princípios da OECD e o modelo PDCA descrito da ISO 27001 ............................................ 56 14. Correspondência entre as ISO 9001, 14001 e 27001 ......................................................... 58 15. Lista das Questões Utilizadas na Aula ................................................................................ 60 16. Gabarito .............................................................................................................................. 66 Infra de TI e Segurança da informação – Gestão de segurança da informação – Aula 01 – Teoria e Exercícios Página 3 de 66 1. Apresentação do curso. Nosso curso terá como foco atender a necessidade do concurseiro que irá fazer a prova de INFORMÁTICA (ÁREA DE INFRAESTRUTURA DE TI E SEGURANÇA DA INFORMAÇÃO) (código 002)) e precisa ter conhecimento sobre o conteúdo referente aos tópicos Gestão de segurança da informação e Gestão de riscos e continuidade de negócio, conforme abaixo descrito: Gestão de segurança da informação: Normas NBR ISO/IEC 27001 e 27002; e Gestão de riscos e continuidade de negócio: Normas NBR ISO/IEC 15999 e 27005. 1.1. A Banca. A Vunesp é uma banca sem grande experiência em provas de concursos públicos que tratem das disciplinas de TI, por isso, além das questões da Vunesp, vamos utilizar também algumas questões de outras bancas tais como a Cesgranrio, FCC e Cespe/UnB, desde sejam do mesmo perfil. 1.2. Metodologia das aulas. Teremos aulas expositivas, descritivas e descontraídas com aproximadamente 40 páginas por aula, as quais poderão variar em quantidade, dependendo do assunto tratado e da abordagem oferecida, mas tentando sempre manter tal média. Fiquem tranquilos, normalmente acabamos as aulas em muito mais que isso, pois não gosto de economizar no conteúdo que é cobrado nas provas dos senhores. Todas as aulas terão uma introdução teórica, abrangendo os assuntos tratados, e uma bateria de exercícios comentados, para fixação do conteúdo e aprendizado do estilo da banca. Abordarei os assuntos desde o básico até o avançado, para que o aluno iniciante tenha conhecimento e contato inicial com os tópicos tratados, e o aluno mais experiente possa se aprofundar através da resolução de questões. A aplicação dos exercícios poderá variar de aula pra aula, de acordo com a proporção dos assuntos cobrados em questões de provas anteriores. Infra de TI e Segurança da informação – Gestão de segurança da informação – Aula 01 – Teoria e Exercícios Página 4 de 66 2. Conteúdo programático e planejamento das aulas (Cronograma) O Conteúdo programático está distribuído de forma que, mesmo quem nunca teve contato com o assunto, possa compreender o contexto da disciplina e a forma com que ela é abordada pela banca. Pretendo sempre trabalhar os assuntos conforme o nível da banca, por isso, tudo que coloco nas aulas cai ou que pode cair na prova. Aula Conteúdo a ser trabalhado Aula 1 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 1) Aula 2 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 2) Aula 3 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 3) Aula 4 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 4) Aula 5 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 5) Aula 6 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 6) Nossa aula de hoje abordará os assuntos referentes à NBR ISO/IEC 27001:2006. 3. Informações iniciais Antes de adentrarmos na parte técnica deste assunto, devemos conhecer algumas informações, que julgo essenciais, principalmente para quem está a pouco tempo estudando para concursos na área de TI. Então vamos às informações. ISO 27001é o padrão e a referência Internacional para a gestão da Segurança da Informação. Infra de TI e Segurança da informação – Gestão de segurança da informação – Aula 01 – Teoria e Exercícios Página 5 de 66 A sua adoção serve para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação (SGSI). Este sistema de Gestão de Segurança da Informação é um modelo holístico de abordagem à Segurança da Informação e independente de marcas e fabricantes tecnológicos. É holístico porque acaba por ser uma abordagem de 360º à Segurança da Informação, tratando de múltiplos temas relacionados ao assunto. É independente de fabricantes porque se destina ao estabelecimento de processos e procedimentos que depois podem ser materializados à realidade de cada organização de forma diferente e com a especificidade de cada ambiente tecnológico e organizacional. Depois dessa ambientação, vamos ao que interessa! 4. Introdução 4.1. Abordagem de processo Neste contexto, processo é qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformação de entradas em saídas pode ser considerada um processo. OBSERVAÇÃO IMPORTANTE: ▪ Frequentemente a saída de um processo forma diretamente a entrada do processo seguinte. Abordagem de processo é aplicação de um sistema de processos dentro de uma organização, junto com a identificação e interações destes processos, e a sua gestão. A abordagem de processo relativo ao SGSI de uma organização tem a finalidade de: ▪ Estabelecer e Implementar; ▪ Operar ▪ Monitorar ▪ Analisar criticamente ▪ Manter; e ▪ Melhorar. Infra de TI e Segurança da informação – Gestão de segurança da informação – Aula 01 – Teoria e Exercícios Página 6 de 66 OBSERVAÇÃO IMPORTANTE: ▪ Segue um macete para ajudar a decorar os processos: (Pode levar a sério, porque isso pode te ajudar a resolver questões de prova). EIOMAMM » (E) Estabelecer, (I) Implementar e (O) Operar, (M) Monitorar e (A) Avaliar criticamente, (M) Manter e (M) Melhorar. E IO MA MM P D C A A abordagem de processo enfatiza a importância de: ▪ Entender os requisitos de segurança da informação e a necessidade de estabelecer uma política e seus objetivos; ▪ Implementar e operar controles para gerenciar os riscos de segurança da informação de uma organização; ▪ Monitorar e analisar criticamente o desempenho e eficácia do SGSI; e ▪ Melhoria contínua baseada em medições objetivas. Veremos agora (Figura 1) o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. Figura 1 — Modelo PDCA aplicado aos processos do SGSI Veja a descrição de cada um dos processos: Infra de TI e Segurança da informação – Gestão de segurança da informação – Aula 01 – Teoria e Exercícios Página 7 de 66 1. (FCC - 2011 - TRT - 14ª Região - RO e AC) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta definição pertence a a) planejar. b) agir. c) fazer. d) confidencializar. e) checar. Comentário: Observe a descrição do PDCA destacada em vermelho : Gabarito: A Infra de TI e Segurança da informação – Gestão de segurança da informação – Aula 01 – Teoria e Exercícios Página 8 de 66 2. (CESPE - TCU - 2010) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI. ( ) Certo ( ) Errado Comentário: Observando a tabela acima podemos verificar que: Do (fazer) quer dizer Implementar e operar a política, controles, processos e procedimentos do SGSI. A descrição mostrada na questão é referente ao Act (agir), veja: Act (agir) - Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. Gabarito: ERRADO 4.2. Compatibilidade com outros sistemas de gestão A tabela abaixo mostra o alinhamento da ISO 27001, 9001 e 14001. Infra de TI e Segurança da informação – Gestão de segurança da informação – Aula 01 – Teoria e Exercícios Página 9 de 66 Página 10 de 66 5. Objetivo O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para: Página 11 de 66 ▪ Proteger os ativos de informação; e ▪ Propiciar confiança às partes interessadas. 5.1. Aplicação Os requisitos que veremos são genéricos para possibilitar a aplicação em todas as organizações, independentemente de: ▪ Tipo; ▪ Tamanho; e ▪ Natureza. Precisa-se justificar a exclusão de controles necessária para satisfazer os critérios de aceitação de riscos. As evidências de aceitação dos riscos associados pelas pessoas responsáveis precisam ser fornecidas. 3. (FCC - 2011 - TRT - 4ª REGIÃO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre organizações do tipo a) comerciais, somente. b) governamentais, somente. c) sem fins lucrativos, somente. d) comerciais e governamentais, somente. e) comerciais, governamentais e sem fins lucrativos. Comentário: Veja o item Aplicação mostrado acima: Os requisitos que veremos são genéricos para possibilitar a aplicação em todas as organizações, independentemente de: ▪ Tipo; ▪ Tamanho; e ▪ Natureza. Gabarito: E 4. (CESPE - 2012 - Banco da Amazônia) A respeito de aspectos gerais da norma ABNT NBR Página 12 de 66 ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação De acordo com a referida norma, a exclusão de qualquer critério de aceitação dos riscos deve ser feita mediante justificativa e evidências de que os riscos serão aceitos pelas pessoas responsáveis por eles. ( ) Certo ( ) Errado Comentário: Veja o item “Aplicação” Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Gabarito: CERTO 6. Termos e definições Ativo: Qualquer coisa que tenha valor para a organização. Disponibilidade: Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. Segurança da informação: Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. Evento de segurança da informação: Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. Incidente de segurança da informação: Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma Página 13de 66 grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Sistema de gestão da segurança da informação SGSI: A parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. Integridade: Propriedade de salvaguarda (Proteção concedida por uma autoridade) da exatidão e completeza (Algo que mantém a integridade preservada) de ativos. Risco residual: Risco remanescente após o tratamento de riscos. Aceitação do risco: Decisão de aceitar um risco. Análise de riscos: Uso sistemático de informações para identificar fontes e estimar o risco. Análise/avaliação de riscos: Processo completo de análise e avaliação de riscos. Avaliação de riscos: Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. Gestão de riscos: Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. Tratamento do risco: Processo de seleção e implementação de medidas para modificar um risco. 5. (CESPE - 2012 - TJ/AL) Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação. a) O sistema de gestão da segurança da informação (SGSI), componente do sistema de gestão global que se fundamenta na abordagem de riscos do negócio, é responsável pelo estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoramento da segurança da informação. Página 14 de 66 b) Gestão de riscos consiste no processo de comparar o risco estimado com os critérios de risco predefinidos, a fim de determinar a importância do risco. c) Evento de segurança da informação é um evento (ou uma série de eventos) que ocorre de maneira indesejada ou inesperada, podendo comprometer as operações do negócio e ameaçar a segurança da informação. d) O incidente de segurança da informação consiste em um incidente que, caso seja identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível violação da política de segurança da informação, bem como de uma falha de controles ou de uma situação previamente desconhecida que possa ser relevante à segurança da informação. e) Confidencialidade corresponde à propriedade de classificar uma informação sigilosa como confidencial. Comentário: Segundo a norma temos: Letra a) CERTO. Sistema de gestão da segurança da informação (SGSI) - A parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. Letra b) ERRADO. Gestão de riscos - Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. Letra c) ERRADO. Evento de segurança da informação - Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. Letra d) ERRADO. Incidente de segurança da informação - Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Letra e) ERRADO. Confidencialidade - Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. Gabarito: A Declaração de aplicabilidade: Declaração documentada que descreve os Página 15 de 66 objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização. OBSERVAÇÕES IMPORTANTES: ▪ O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. ▪ A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. ▪ Neste contexto “controle” é usado como um sinônimo para “medida”. ▪ Os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização para a segurança da informação. Página 16 de 66 6. (FCC - 2011 - TRT - 1ª REGIÃO (RJ) De acordo com a NBR ISO/IEC 27001, integridade é a) a propriedade de a informação estar acessível e utilizável sob demanda por uma entidade autorizada. b) a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. c) a possível violação da política de segurança da informação ou falha de controles. d) a propriedade de salvaguarda da exatidão e completeza de ativos. e) qualquer coisa que tenha valor para a organização. Comentário: Esta questão aborda algumas definições essenciais para este contexto. As alternativas trazem as definições de: Letra a) Disponibilidade: Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. Letra b) Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. Letra c) Evento: possível violação da política de segurança da informação ou falha de controles. Letra d) Integridade: Propriedade de salvaguarda (Proteção concedida por uma autoridade) da exatidão e completeza (Algo que mantém a integridade preservada) de ativos. Letra e) Ativo: Qualquer coisa que tenha valor para a organização. Gabarito: D 7. (CESPE - ANEEL - 2010) Os objetivos de controle e os controles pertinentes e aplicáveis ao SGSI da organização devem ser selecionados exclusivamente com base nos resultados e conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como controlar, evitar, transferir ou aceitar tais riscos. Página 17 de 66 ( ) Certo ( ) Errado Comentário: Veja as Observações Importantes acima. Podemos ver que os objetivos de controle e controles, estão baseados TAMBÉM nos resultados e conclusões dos processos de tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização. O termo EXCLUSIVAMENTE comprometeu a questão. Gabarito: ERRADO 7. Sistema de gestão de segurança da informação A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Este processo está baseado no modelo de PDCA mostrado na figura 1 (Acima). 7.1. Estabelecendo e gerenciando o SGSI Para estabelecer o SGSI a organização deve: Definir o escopo e os limites do SGSI. ▪ Para isso, a organização precisa observar sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; Definir uma política do SGSI. ▪ A organização precisa observar sua localização, ativos e tecnologia que: 1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação; 2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais; 3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer; 4) estabeleça critérios em relação aos quais os riscos serão avaliados; e 5) tenha sido aprovada pela direção. Página 18 de 66 OBSERVAÇÃO IMPORTANTE: ▪ A política doSGSI é considerada um documento maior da política de segurança da informação. Definir a abordagem de análise/avaliação de riscos para: 1) Identificar uma metodologia de análise/avaliação de riscos que seja adequada ao SGSI e aos requisitos legais, regulamentares e de segurança da informação, identificados para o negócio. 2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco. OBSERVAÇÃO IMPORTANTE: ▪ A metodologia de análise/avaliação de riscos selecionada deve assegurar a produção de resultados comparáveis e reproduzíveis. Identificar os riscos: 1) Identificar os ativos dentro do escopo do SGSI e seus proprietários. OBSERVAÇÃO IMPORTANTE: ▪ Proprietário se refere à pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. Isso não quer dizer que o proprietário tenha qualquer direito de propriedade ao ativo. 2) Identificar as ameaças a esses ativos. 3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças. 4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Analisar e avaliar os riscos: 1) Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando em consideração as consequências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos. Página 19 de 66 2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados. 3) Estimar os níveis de riscos. 4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios estabelecidos. Identificar e avaliar as opções para o tratamento de riscos: ▪ Possíveis ações incluem: 1) aplicar os controles apropriados; 2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos; 3) evitar riscos; e 4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. Selecionar objetivos de controle e controles para o tratamento de riscos. ▪ Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos. ▪ Esta seleção deve considerar os critérios para aceitação de riscos como também os requisitos legais, regulamentares e contratuais. Obter aprovação da direção dos riscos residuais propostos. Obter autorização da direção para implementar e operar o SGSI. Preparar uma Declaração de Aplicabilidade. ▪ A Declaração de Aplicabilidade provê um resumo das decisões relativas ao tratamento de riscos. ▪ A justificativa das exclusões provê uma checagem cruzada de que nenhum controle foi omitido inadvertidamente. ▪ Uma Declaração de Aplicabilidade deve ser preparada, incluindo o seguinte: 1) Os objetivos de controle e os controles selecionados e as razões para sua seleção; 2) Os objetivos de controle e os controles atualmente implementados; e Página 20 de 66 3) A exclusão de quaisquer objetivos de controle e controles com a respectiva justificativa para sua exclusão. 8. (FCC - 2013 - TRT - 18ª Região/GO) A Norma NBR ISO/IEC 27001:2006, na seção que trata do estabelecimento e gerenciamento do SGSI, orienta que a organização deve definir uma política do SGSI nos termos das características do negócio, sua localização, ativos e tecnologia que observe as características listadas abaixo, EXCETO: a) obtenha a autorização dos stakeholders (partes interessadas). b) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação. c) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais. d) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer. e) estabeleça critérios em relação aos quais os riscos serão avaliados. Comentário: Observe que a questão quer a alternativa INCORRETA. Para estabelecer o SGSI a organização deve: Definir o escopo e os limites do SGSI. ▪ Para isso, a organização precisa observar sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; Definir uma política do SGSI. ▪ A organização precisa observar sua localização, ativos e tecnologia que: 1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação; (descrito na letra b) 2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais; (descrito na letra c) 3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer; (descrito na letra d) 4) estabeleça critérios em relação aos quais os riscos serão avaliados; e Página 21 de 66 (descrito na letra e) 5) tenha sido aprovada pela direção. Como podemos observar, a alternativa a) é a única que não aparece na descrição acima. A referência que podemos mencionar sobre ela está no item “Manter e melhorar o SGSI – A organização deve: regularmente comunicar as ações e melhorias a todas as partes interessadas”. Gabarito: A 9. (CESPE - 2012 - TRE/RJ) De acordo com o estabelecido na mencionada norma, a organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos. ( ) Certo ( ) Errado Comentário: A ISO 27001 no item “Estabelecer o SGSI”, não menciona a definição de um plano diretor, observe o descrito na norma. A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2); b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que d) Identificar os riscos. e) Analisar e avaliar os riscos. f) Identificar e avaliar as opções para o tratamento de riscos. g) Selecionar objetivos de controle e controles para o tratamento de riscos. h) Obter aprovação da direção dos riscos residuais propostos. i) Obter autorização da direção para implementar e operar o SGSI. j) Preparar uma Declaração de Aplicabilidade. Gabarito: ERRADO Página 22 de 66 7.1.1. Implementar e operar o SGSI - A organização deve Formular um plano de tratamento de riscos. ▪ Identificando a ação de gestão, recursos, responsabilidades e prioridades. Implementar o plano de tratamento de riscos. ▪ Incluindo considerações de financiamentos e atribuição de papéis e responsabilidades. Implementar os controles selecionados. Definir como medir a eficácia dos controles ou grupos de controles. ▪ Especificando como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis. Implementar programas de conscientização e treinamento. Gerenciar as operações do SGSI. Gerenciar os recursos para o SGSI. Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação. 7.1.2. Monitorar e analisar criticamente o SGSI - A organizaçãodeve Executar procedimentos de monitoração e análise crítica: 1) detectar erros nos resultados de processamento; 2) identificar tentativas e violações de segurança bem-sucedidas, e incidentes de segurança da informação; 3) permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado; 4) ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores; e 5) determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. Realizar análises críticas regulares da eficácia do SGSI. Página 23 de 66 Medir a eficácia dos controles. Analisar criticamente as análises/avaliações de riscos e analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados, levando em consideração mudanças relativas a: 1) organização; 2) tecnologias; 3) objetivos e processos de negócio; 4) ameaças identificadas; 5) eficácia dos controles implementados; 6) eventos externos. Conduzir auditorias internas (ou auditorias de primeira) do SGSI. Realizar uma análise crítica do SGSI pela direção. Atualizar os planos de segurança da informação. Registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI. 10. (FCC - 2012 - TJ/PE) A eficácia dos controles para verificar se os requisitos de segurança da informação foram atendidos deve ser medida, no Sistema de Gestão de Segurança da Informação (SGSI), nas fases a) estabelecer e gerenciar o SGSI. b) monitorar e analisar criticamente o SGSI. c) planejar e implantar o SGSI. d) implementar e operar o SGSI. e) manter e melhorar o SGSI. Comentário: Observe: Que o objeto da questão é: em qual fase deve ser medida a eficácia dos controles para verificar se os requisitos de segurança da informação foram atendidos. A maldade do examinador em colocar nas alternativas d) e e) outras duas subfases de “Estabelecendo e gerenciando o SGSI“ para confundir o aluno. Conforme vimos em nossa aula de hoje, Monitorar e analisar criticamente o SGSI - A organização deve Executar procedimentos de monitoração e análise crítica: ... Página 24 de 66 Realizar análises críticas regulares da eficácia do SGSI. Medir a eficácia dos controles. Gabarito: B 7.1.3. Manter e melhorar o SGSI – A organização deve regularmente: Implementar as melhorias no SGSI. Executar as ações preventivas e corretivas. ▪ Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização. Comunicar as ações e melhorias a todas as partes interessadas. Assegurar-se de que as melhorias atinjam os objetivos pretendidos. 11. (FCC - 2012 - TRT - 11ª Região/AM) Segundo a norma ISO 27001, para se estabelecer o Sistema de Gestão de Segurança da Informação (SGSI), considere: I. A organização deve definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer. II. A organização deve definir a abordagem de análise/avaliação de riscos da organização e desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco. III. Identificar e avaliar as opções para o tratamento de riscos, sendo uma possível ação aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos. Está correto o que se afirma em a) I e II, apenas. b) I e III, apenas. c) II, apenas. d) III, apenas. e) I, II e III. Comentário: Página 25 de 66 Observe o que vimos em nossa aula de hoje no tópico “6.1 Estabelecendo e gerenciando o SGSI” Item I. CORRETO. Definir uma política do SGSI. ▪ A organização precisa observar sua localização, ativos e tecnologia que: 3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer; Item II. CORRETO. Definir a abordagem de análise/avaliação de riscos para: 2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco. Item III. CORRETO. Identificar e avaliar as opções para 2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos; Gabarito: E 7.2. Requisitos de documentação - A documentação do SGSI deve incluir Registros de decisões da direção Uma forma de: ▪ Assegurar que as ações sejam rastreáveis às políticas e decisões da direção. ▪ Assegurar que os resultados registrados sejam reproduzíveis. ▪ Demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e consequentemente com a política e objetivos do SGSI. Declarações documentadas da política e objetivos; Escopo; Procedimentos e controles que apoiam o SGSI; Descrição da metodologia de análise/avaliação de riscos; Relatório de análise/avaliação de riscos; Plano de tratamento de riscos; Página 26 de 66 Procedimentos documentados requeridos pela organização para assegurar: ▪ Planejamento efetivo. ▪ Operação e o controle de seus processos de segurança de informação. ▪ Descrever como medir a eficácia dos controles. Registros requeridos; e Declaração de Aplicabilidade. OBSERVAÇÕES IMPORTANTES: ▪ Procedimento documentado é igual a procedimento é estabelecido, documentado, implementado e mantido. ▪ A abrangência da documentação do SGSI variam de acordo com: o Tamanho da organização; o Tipo de suas atividades; e o Escopo e complexidade dos requisitos de segurança e o do sistema gerenciado. ▪ Documentos e registros podem estar em qualquer forma ou tipo de mídia. 7.2.1. Controle de documentos Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para: ▪ Aprovar, antes de sua emissão, documentos quanto à sua adequação; ▪ Analisar criticamente e atualizar e reaprovar documentos; ▪ Assegurar que sejam identificadas as alterações e a situação da revisão atual dos documentos; ▪ Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso; ▪ Assegurar que os documentos permaneçam legíveis e prontamente identificáveis; ▪ Assegurar que os documentos: o Estejam disponíveis àqueles que deles precisam; Página 27 de 66 o Sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação; ▪ Assegurar que documentos de origem externa sejam identificados; ▪ Assegurar que a distribuição de documentos seja controlada; ▪ Prevenir o uso não intencional de documentos obsoletos; e ▪ Aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito. 7.2.2. Controle de registros Registros devem ser estabelecidos e mantidos para: ▪ Fornecer evidências de conformidade aos requisitos e da operação eficaz do SGSI. Devem ser protegidos e controlados. O SGSI deve considerar quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais. Registros devem permanecer legíveis, identificáveis e recuperáveis. Controles devem ser documentados e implementados para: ▪ Identificação; ▪ Armazenamento;▪ Proteção; ▪ Recuperação; ▪ Tempo de retenção; e ▪ Disposição de registros. Devem ser mantidos: ▪ Registros do desempenho do processo; e ▪ Ocorrências de incidentes de segurança da informação relacionados ao SGSI. Página 28 de 66 12. (CESPE - 2009 - TCU) A respeito do diagrama acima, que apresenta um modelo conceitual sistêmico da norma ABNT NBR ISO/IEC 27001, julgue o item. Entre os documentos e registros cujo controle é demandado pela ISO 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade. ( ) Certo ( ) Errado Comentário: Veja o item “Requisitos de documentação - A documentação do SGSI deve incluir:” a) declarações documentadas da política e objetivos do SGSI; b) o escopo do SGSI; c) procedimentos e controles que apoiam o SGSI; d) uma descrição da metodologia de análise/avaliação de riscos; e) o relatório de análise/avaliação de riscos; f) o plano de tratamento de riscos; g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles; h) registros requeridos por esta Norma; e i) a Declaração de Aplicabilidade. São citados na norma como exemplos de registros: livros de visitantes, relatórios de auditoria e formulários de autorização de acesso preenchidos. Gabarito: CERTO Página 29 de 66 8. Responsabilidades da direção A Direção deve fornecer evidência do seu comprometimento com o: ▪ Estabelecimento; ▪ Implementação; ▪ Operação; ▪ Monitoramento; ▪ Análise crítica; ▪ Manutenção; e ▪ Melhoria do SGSI Este comprometimento deve ser comprovado mediante: ▪ Estabelecimento da política do SGSI; ▪ Garantia de que são estabelecidos os planos e objetivos do SGSI; ▪ Estabelecimento de papéis e responsabilidades pela segurança de informação; ▪ Comunicação à organização da(s): o Importância em atender aos objetivos e a conformidade com a política de segurança de informação o Responsabilidades perante a lei; e o Necessidade para melhoria contínua. ▪ Provisão de recursos suficientes para: o Estabelecer; o Implementar; o Operar; o Monitorar; o Analisar criticamente; o Manter e melhorar o SGSI; ▪ Definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis; ▪ Garantia de que as auditorias internas sejam realizadas; e ▪ Condução de análises críticas pela direção. 8.1. Gestão de recursos A organização deve determinar e prover os recursos necessários para: ▪ Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI; Página 30 de 66 ▪ Assegurar que os procedimentos apoiam os requisitos de negócio; ▪ Identificar e tratar os requisitos legais e regulamentares e obrigações contratuais; ▪ Manter a segurança da informação adequada; ▪ Realizar análises críticas; ▪ Reagir adequadamente aos resultados das análises críticas; e ▪ Melhorar a eficácia do SGSI. 8.1.1. Treinamento, conscientização e competência A organização deve assegurar que o pessoal: ▪ Com responsabilidades atribuídas definidas no SGSI seja competente no desempenho das tarefas requeridas ▪ Pertinente esteja consciente da relevância e importância das suas atividades e como eles contribuem para o alcance dos objetivos do SGSI. A organização pode assegurar isso: ▪ Determinando as competências necessárias para o pessoal que executa trabalhos que afetam o SGSI; ▪ Fornecendo treinamento ou executando outras ações para satisfazer essas necessidades; ▪ Avaliando a eficácia das ações executadas; e ▪ Mantendo registros de educação, treinamento, habilidades, experiências e qualificações. 9. Auditorias internas do SGSI A organização: ▪ Deve conduzir auditorias internas. o Com intervalos planejados; As auditorias devem determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI: Página 31 de 66 ▪ Atendem aos requisitos da ISSO 27001 e à legislação ou regulamentações pertinentes; ▪ Atendem aos requisitos de segurança da informação identificados; ▪ Estão mantidos e implementados eficazmente; e ▪ São executados conforme esperado. Um programa de auditoria deve ser planejado levando em consideração ▪ Situação e a importância dos processos e áreas a serem auditadas; ▪ Resultados de auditorias anteriores. Critérios a serem definidos: ▪ Auditoria; ▪ Escopo; ▪ Frequência; e ▪ Métodos. A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho. Devem ser definidos em um procedimento documentado: ▪ As responsabilidades; ▪ Os requisitos para: o Planejamento; o Execução de auditorias; o Relatar os resultados; e o Manutenção dos registros. O responsável pela área a ser auditada deve: ▪ Assegurar que as ações sejam executadas, sem demora indevida, para eliminar as não-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir: ▪ Verificação das ações executadas; e ▪ Relato dos resultados de verificação. 10. Análise crítica do SGSI pela direção A direção deve analisar criticamente o SGSI da organização pelo menos uma vez Página 32 de 66 por ano para assegurar: ▪ Contínua pertinência; ▪ Adequação; e ▪ Eficácia. Esta análise crítica deve incluir: ▪ Avaliação de oportunidades para melhoria; e ▪ Necessidade de mudanças do SGSI, considerando: o Política de segurança da informação o Objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e seus registros mantidos. 10.1. Entradas para a análise crítica devem incluir Resultados de auditorias e análises críticas; Realimentação das partes interessadas; Técnicas, produtos ou procedimentos: ▪ Desde que possam ser usados na organização para melhorar o desempenho e a eficácia do SGSI; Situação das ações preventivas e corretivas; Vulnerabilidades/ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores; Resultados das medições de eficácia; Acompanhamento das ações oriundas de análises críticas anteriores pela direção; Quaisquer mudanças que possam afetar o SGSI; e Recomendações para melhoria. 10.2. Saídas da análise crítica Devem incluir quaisquer decisões e ações relacionadas a: ▪ Melhoria da eficácia do SGSI. Página 33 de 66 ▪ Atualização da (o): o Análise/avaliação de riscos; e o Plano de tratamento de riscos. ▪ Modificação de procedimentos e controles que afetem a segurança da informação: o Com o objetivo de responder a eventos internos ou externos que possam impactar no SGSI. o Essas modificações devem incluir mudanças de: - Requisitos de negócio; - Requisitos de segurança da informação; - Processos de negócio que afetem os requisitos de negócio existentes; - Requisitos legais ou regulamentares; - Obrigações contratuais; e - Níveis de riscos e/ou critérios de aceitação de riscos. ▪ Necessidade de recursos. ▪ Melhoria de como a eficácia dos controles está sendo medida. 11. Melhoria do SGSI A organização deve continuamente melhorar a eficácia do SGSI utilizando: ▪ Política de segurança da informação; ▪ Objetivos desegurança da informação; ▪ Resultados de auditorias; ▪ Análises de eventos monitorados ▪ Ações corretivas e preventivas; ▪ Análise crítica pela direção. 11.1. Ação corretiva A organização deve executar ações para eliminar as causas de nãoconformidades: ▪ Objetivo: evitar repetição, ou seja, evitar recorrência da não-conformidade. Os procedimentos das ações corretivas de não-conformidade devem ser Página 34 de 66 documentados e definir requisitos para: ▪ Identificar não-conformidades; ▪ Determinar as causas de não-conformidades; ▪ Avaliar a necessidade de ações para assegurar que as não-conformidades se repitam; ▪ Determinar e implementar as ações corretivas; ▪ Registrar os resultados das ações executadas; e ▪ Analisar criticamente as ações corretivas. 11.2. Ação preventiva A organização deve: ▪ Determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrência. ▪ Identificar mudanças nos riscos. ▪ Identificar requisitos de ações preventivas focando a atenção nos riscos significativamente alterados. As ações preventivas devem: ▪ Ser apropriadas aos impactos dos potenciais problemas. ▪ Ter seus procedimentos documentados com requisitos para: o Identificar não-conformidades potenciais e suas causas; o Avaliar a necessidade de ações para evitar a ocorrência de nãoconformidades; o Determinar e implementar as ações preventivas; o Registrar os resultados de ações; e o Analisar criticamente as ações preventivas. A prioridade de ações preventivas deve ser determinada com base nos resultados da análise/avaliação de riscos. Página 35 de 66 OBSERVAÇÃO IMPORTANTE: ▪ Quem não conhece aquele velho ditado: “prevenir é melhor que remediar”. Na área de segurança devemos levar este lema como uma premissa. Por isso, ações preventivas frequentemente têm melhor custobenefício que as corretivas. OBSERVAÇÕES ADICIONAIS: ▪ Vamos começar pela parte ruim. Agora vamos adentrar em uma parte que considero um mal necessário, que são os anexos da ISO 27001. Pensei até em não coloca-los em nossa aula, mas nunca se sabe completamente o que o examinador está pensando ou julga importante, vai que o cidadão coloca uma questão dessas. ▪ Como todo assunto tem também pelo menos uma parte boa. Como podem observar pela “incidência” de questões, esta parte ainda não foi cobrada em provas da FCC. ▪ Respirem fundo, vamos lá. 12. Objetivos de controle e controles Uma organização pode adicionar, se julgar necessário, objetivos de controle e controles adicionais aos já existentes na tabela abaixo. Os objetivos de controle e controles da tabela abaixo devem ser selecionados como parte do processo de SGSI. Então vamos a eles: Página 36 de 66 Página 37 de 66 Página 38 de 66 Página 39 de 66 Página 40 de 66 Página 41 de 66 13 . (CESPE - 2013 - TRE / MS) Para proteger uma área que abriga recursos de processamento da informação, um órgão público, com base na nor ma ABNT NBR ISO/IEC 27001, instalou uma porta com controle de acesso por cartão, de modo a que somente os colaboradores previamente autorizados possam acessar esse ambiente. Nessa situação hipotética, de acordo com a referida norma da ABNT, a medida adota da pelo órgão público associa - se a) à validação de dados de saída. b) ao controle de vulnerabilidades. c) ao controle contra códigos móveis. d) ao controle de perímetro de segurança física. e) à coordenação de segurança da informação. Comentário: Gabarit o: D Página 42 de 66 Página 43 de 66 14 . (CESPE - 2013 - CNJ) Acerca da gestão de segurança da informação, conforme as normas da ABNT, julgue os itens a seguir. A segurança física e do ambiente é descrita na norma ABNT NBR ISO/IEC 27001, que estabelece orientação para seguranç a dos cabeamentos de energia e de telecomunicações, destacando o modo como esses cabeamentos devem ser protegidos contra interceptação ou danos. ( ) Certo ( ) Errado Comentário: Observe a referência d o assunto da ISO 27001, em nenhum momento ela mostra o modo como esses cabeamentos devem ser protegidos , por isso a questão está errada. Gabarito: ER RAD O Página 44 de 66 Página 45 de 66 Página 46 de 66 Página 47 de 66 15 . ( CESPE - 2013 – CNJ) Acerca da gestão de segurança da informação, conforme as normas da ABNT, julgue os i tens a seguir. De acordo com a norma ABNT NBR ISO/IEC 27001, informações publicamente disponibilizadas pela organização não requerem mecanismos de proteção para a sua visualização e modificação. ( ) Certo ( ) Errado Comentário: Gabarito: ER RAD O Página 48 de 66 Página 49 de 66 Nossa, parece que esse suplício não vai mais acabar, aguentem só mais um pouco. Segue uma questão pra quebrar o clima e relaxar. 16. (FCC - 2012 - TRT - 6ª Região/PE) Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para a) avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. b) identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. c) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. e) desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. Comentário: Observe o tópico acima. A organização deve determinar e prover os recursos necessários para: ▪ Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI; ▪ Assegurar que os procedimentos apoiam os requisitos de negócio; ▪ Identificar e tratar os requisitos legais e regulamentares e obrigações contratuais; ▪ Manter a segurança da informação adequada; ▪ Realizar análises críticas; ▪ Reagir adequadamente aos resultados das análises críticas; e ▪ Melhorar a eficácia do SGSI. Gabarito: D Página 50 de 66 Página 51 de 66 Página 52 de 66 Página 53 de 66 Página 54 de 66 Página 55 de 66 Página 56 de 66 13. Princípios da OECD e o modelo PDCA descrito da ISO 27001 Primeiro o que é OECD? ▪ A Organização para a Cooperação e Desenvolvimento Econômico é uma organização internacional composta por de 34 países que aceitam os princípios da democracia representativa e da economia de livre mercado, que procura fornecer uma plataforma para comparar políticas econômicas, solucionar problemas comuns e coordenar políticas domésticas e internacionais. Mais o que essa Organização tem a ver com segurança da informação e principalmente com o nosso contexto? 17 . (CESPE - 2013 - SERPRO) Com base nas normas de segurança da informação, julgue o item seguinte. De acordo com a norma ISO 27001, a gestão de riscos é um processo que inclui prevenção, detecção e resposta a incidentes, atuação, manutenção, análise crítica e auditoria. Todas essas etapas são contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir ( Act ). ( ) Certo ( ) Errado Comentário: Gestão de segurança : Gabarito: C ER T O Página 57 de 66 ▪ Os princípios definidos pelas Diretrizes de OECDpara a Segurança de Sistemas de Informação e Redes aplicam-se para toda a política e níveis operacionais que governam a segurança de sistemas de informação e redes. ▪ A ISO 27001 provê uma estrutura de um sistema de gestão de segurança da informação para implementar alguns dos princípios da OECD que usam o modelo PDCA e os processos descritos nos itens (Já vistos em nossa aula de hoje): o Sistema de gestão de segurança da informação; o Responsabilidades da direção; o Auditorias internas do SGSI; e o Melhoria do SGSI. Os princípios estão descrito na tabela abaixo: Página 58 de 66 14. Correspondência entre as ISO 9001, 14001 e 27001 Vamos acabar logo com esse sofrimento, observe a correspondência na tabela abaixo: 18. (CESPE - 2012 -TRE/RJ) A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma. ( ) Certo ( ) Errado Comentário: A ISO 27001 possui os requisitos para aplicação do SGSI. As diretrizes são definidas pela ISO 27002. Portanto a questão está errada. Gabarito: ERRADO Página 59 de 66 19. (CESPE - 2008 – SERPRO) A respeito das normas de segurança da informação, julgue o Página 60 de 66 item subsequente. A ISO/IEC 27001:2006 é a principal norma de mercado acerca de aspectos operacionais tecnológicos que devem ser implementados nos servidores de arquivos e equipamentos de conectividade, para controle de acesso de usuários maliciosos. ( ) Certo ( ) Errado Comentário: Na NBR ISO/IEC 27001 os controles de segurança são apenas citados e são muito abrangentes, e podem ter várias interpretações. Já a NBR ISO/IEC 27002 contem todos os controles que 27001 só que com explicações e exemplos de implementação. Gabarito: ERRADO 15. Lista das Questões Utilizadas na Aula. 1. (FCC - 2011 - TRT - 14ª Região - RO e AC) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta definição pertence a a) planejar. b) agir. c) fazer. d) confidencializar. e) checar. 2. (CESPE - TCU - 2010) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI. ( ) Certo ( ) Errado Página 61 de 66 3. (FCC - 2011 - TRT - 4ª REGIÃO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre organizações do tipo a) comerciais, somente. b) governamentais, somente. c) sem fins lucrativos, somente. d) comerciais e governamentais, somente. e) comerciais, governamentais e sem fins lucrativos. 4. (CESPE - 2012 - Banco da Amazônia) A respeito de aspectos gerais da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação De acordo com a referida norma, a exclusão de qualquer critério de aceitação dos riscos deve ser feita mediante justificativa e evidências de que os riscos serão aceitos pelas pessoas responsáveis por eles. ( ) Certo ( ) Errado 5. (CESPE - 2012 - TJ/AL) Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação. a) O sistema de gestão da segurança da informação (SGSI), componente do sistema de gestão global que se fundamenta na abordagem de riscos do negócio, é responsável pelo estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoramento da segurança da informação. b) Gestão de riscos consiste no processo de comparar o risco estimado com os critérios de risco predefinidos, a fim de determinar a importância do risco. c) Evento de segurança da informação é um evento (ou uma série de eventos) que ocorre de maneira indesejada ou inesperada, podendo comprometer as operações do negócio e ameaçar a segurança da informação. d) O incidente de segurança da informação consiste em um incidente que, caso seja identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível violação da política de segurança da informação, bem como de uma falha de controles ou de uma situação previamente desconhecida que possa ser relevante à segurança da informação. Página 62 de 66 e) Confidencialidade corresponde à propriedade de classificar uma informação sigilosa como confidencial. 6. (FCC - 2011 - TRT - 1ª REGIÃO (RJ) De acordo com a NBR ISO/IEC 27001, integridade é a) a propriedade de a informação estar acessível e utilizável sob demanda por uma entidade autorizada. b) a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. c) a possível violação da política de segurança da informação ou falha de controles. d) a propriedade de salvaguarda da exatidão e completeza de ativos. e) qualquer coisa que tenha valor para a organização. 7. (CESPE - ANEEL - 2010) Os objetivos de controle e os controles pertinentes e aplicáveis ao SGSI da organização devem ser selecionados exclusivamente com base nos resultados e conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como controlar, evitar, transferir ou aceitar tais riscos. ( ) Certo ( ) Errado 8. (FCC - 2013 - TRT - 18ª Região/GO) A Norma NBR ISO/IEC 27001:2006, na seção que trata do estabelecimento e gerenciamento do SGSI, orienta que a organização deve definir uma política do SGSI nos termos das características do negócio, sua localização, ativos e tecnologia que observe as características listadas abaixo, EXCETO: a) obtenha a autorização dos stakeholders (partes interessadas). b) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação. c) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais. d) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer. e) estabeleça critérios em relação aos quais os riscos serão avaliados. Página 63 de 66 9. (CESPE - 2012 - TRE/RJ) De acordo com o estabelecido na mencionada norma, a organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos. ( ) Certo ( ) Errado 10. (FCC - 2012 - TJ/PE) A eficácia dos controles para verificar se os requisitos de segurança da informação foram atendidos deve ser medida, no Sistema de Gestão de Segurança da Informação (SGSI), nas fases a) estabelecer e gerenciar o SGSI. b) monitorar e analisar criticamente o SGSI. c) planejar e implantar o SGSI. d) implementar e operar o SGSI. e) manter e melhorar o SGSI. 11. (FCC - 2012 - TRT - 11ª Região/AM) Segundo a norma ISO 27001, para se estabelecer o Sistema de Gestão de Segurança da Informação (SGSI), considere: I. A organização deve definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer. II. A organização deve definir a abordagem de análise/avaliação de riscos da organização e desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveisde risco. III. Identificar e avaliar as opções para o tratamento de riscos, sendo uma possível ação aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos. Está correto o que se afirma em a) I e II, apenas. b) I e III, apenas. c) II, apenas. d) III, apenas. e) I, II e III. Página 64 de 66 12. (CESPE - 2009 - TCU) A respeito do diagrama acima, que apresenta um modelo conceitual sistêmico da norma ABNT NBR ISO/IEC 27001, julgue o item. Entre os documentos e registros cujo controle é demandado pela ISO 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade. ( ) Certo ( ) Errado 13. (CESPE - 2013 - TRE/MS) Para proteger uma área que abriga recursos de processamento da informação, um órgão público, com base na norma ABNT NBR ISO/IEC 27001, instalou uma porta com controle de acesso por cartão, de modo a que somente os colaboradores previamente autorizados possam acessar esse ambiente. Nessa situação hipotética, de acordo com a referida norma da ABNT, a medida adotada pelo órgão público associa-se a) à validação de dados de saída. b) ao controle de vulnerabilidades. c) ao controle contra códigos móveis. d) ao controle de perímetro de segurança física. e) à coordenação de segurança da informação. 14. (CESPE - 2013 - CNJ) Acerca da gestão de segurança da informação, conforme as normas da ABNT, julgue os itens a seguir. A segurança física e do ambiente é descrita na norma ABNT NBR ISO/IEC 27001, que estabelece orientação para segurança dos cabeamentos de energia e de telecomunicações, Página 65 de 66 destacando o modo como esses cabeamentos devem ser protegidos contra interceptação ou danos. ( ) Certo ( ) Errado 15. (CESPE - 2013 – CNJ) Acerca da gestão de segurança da informação, conforme as normas da ABNT, julgue os itens a seguir. De acordo com a norma ABNT NBR ISO/IEC 27001, informações publicamente disponibilizadas pela organização não requerem mecanismos de proteção para a sua visualização e modificação. ( ) Certo ( ) Errado 16. (FCC - 2012 - TRT - 6ª Região/PE) Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para a) avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. b) identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. c) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. e) desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 17. (CESPE - 2013 - SERPRO) Com base nas normas de segurança da informação, julgue o item seguinte. De acordo com a norma ISO 27001, a gestão de riscos é um processo que inclui prevenção, detecção e resposta a incidentes, atuação, manutenção, análise crítica e auditoria. Todas essas etapas são contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir (Act). ( ) Certo ( ) Errado Página 66 de 66 18. (CESPE - 2012 -TRE/RJ) A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma. ( ) Certo ( ) Errado 19. (CESPE - 2008 – SERPRO) A respeito das normas de segurança da informação, julgue o item subsequente. A ISO/IEC 27001:2006 é a principal norma de mercado acerca de aspectos operacionais tecnológicos que devem ser implementados nos servidores de arquivos e equipamentos de conectividade, para controle de acesso de usuários maliciosos. ( ) Certo ( ) Errado 16. Gabarito. 1. A 11. E 2. ERRADO 12. CERTO 3. E 13. D 4. CERTO 14. ERRADO 5. A 15. ERRADO 6. D 16. D 7. ERRADO 17. CERTO 8. A 18. ERRADO 9. ERRADO 19. ERRADO 10. B
Compartilhar