aula 00 demo cg ati gsi mpog 6309

www.tiparaconcursos.net - [email protected] Pgina 1 de 67

MPOG (Cargo: Analista - TI) Gesto de Segurana da Informao Aula 00

Teoria e Exerccios Professor Leonardo Rangel

AULA 00: 7.1. Normas ABNT: NBR 27001:2005 (Sistema de

Gesto de Segurana da Informao), NBR 27002:2005

(Cdigo de Boas Prticas em Segurana da Informao) 6.1.

Poltica de segurana (processos de definio, implantao

e gesto de polticas de segurana e auditoria). 6.2.

Classificao da informao. 6.4. Controle de acesso. 6.5.

Segurana de servios terceirizados. (Parte 1)

Sumrio

1. Apresentao do curso. ...................................................................................................... 3

1.1. A Banca. .............................................................................................................................. 4

1.2. Metodologia das aulas. ....................................................................................................... 4

2. Contedo programtico e planejamento das aulas (Cronograma) .................................... 5

3. Informaes iniciais ............................................................................................................ 7

4. Introduo........................................................................................................................... 8

4.1. Abordagem de processo ..................................................................................................... 8

4.2. Compatibilidade com outros sistemas de gesto ............................................................. 11

5. Objetivo............................................................................................................................. 13

5.1. Aplicao ........................................................................................................................... 13

6. Termos e definies .......................................................................................................... 14

7. Sistema de gesto de segurana da informao .............................................................. 18

7.1. Estabelecendo e gerenciando o SGSI................................................................................ 18

7.1.1. Implementar e operar o SGSI - A organizao deve ................................................. 23

7.1.2. Monitorar e analisar criticamente o SGSI - A organizao deve ............................... 23

7.1.3. Manter e melhorar o SGSI A organizao deve regularmente: ............................. 25




7.2. Requisitos de documentao - A documentao do SGSI deve incluir ............................ 26

7.2.1. Controle de documentos........................................................................................... 27

7.2.2. Controle de registros ................................................................................................. 28

8. Responsabilidades da direo .......................................................................................... 30

8.1. Gesto de recursos ........................................................................................................... 31

8.1.1. Treinamento, conscientizao e competncia ......................................................... 31

9. Auditorias internas do SGSI .............................................................................................. 31

10. Anlise crtica do SGSI pela direo .................................................................................. 33

10.1. Entradas para a anlise crtica devem incluir ............................................................ 33

10.2. Sadas da anlise crtica ............................................................................................. 34

11. Melhoria do SGSI .............................................................................................................. 34

11.1. Ao corretiva ........................................................................................................... 35

11.2. Ao preventiva......................................................................................................... 35

12. Objetivos de controle e controles .................................................................................... 36

13. Princpios da OECD e o modelo PDCA descrito da ISO 27001 .......................................... 57

14. Correspondncia entre as ISO 9001, 14001 e 27001 ....................................................... 59

15. Lista das Questes Utilizadas na Aula. ............................................................................. 61

16. Gabarito. ........................................................................................................................... 67

Caros alunos,

Para iniciarmos nossa aula de demonstrao, falarei um pouco sobre mim. Sou

Servidor Pblico Federal a mais de vinte anos, onde desempenhei vrias funes

relacionadas rea de TI. Nos ltimos seis anos, trabalho na administrao, controle e

segurana de usurios lotados em sessenta e quatro Unidades Gestoras sediadas nos

estados do Rio de Janeiro e Esprito Santo, totalizando mais de cinco mil usurios de

diversos sistemas utilizados pela esfera federal, tais como: SIAFI, SIAFI Web, SIAFI Gerencial,

SIAFI Educacional, SIASG, SIASG Treino, entre outros. Minha formao acadmica teve incio




em 1996 quando terminei a Graduao em Matemtica pela UERJ - Universidade Estadual

do Rio de Janeiro, prossegui em 2000, com o Bacharelado em Cincias da Computao pela

UGF - Universidade Gama Filho. Nos ltimos doze anos, realizei trs cursos de Ps-

Graduao: Docncia do Ensino Superior pela UFRJ - Universidade Federal do Rio de

Janeiro, Gesto Estratgica e Negcios pela USP - Universidade de So Paulo e Criptografia e

Segurana em Redes pela UFF - Universidade Federal Fluminense. Sou tambm certificado

PMP, Cobit e Itil.

Venho trabalhando como professor desde 2003 na preparao do profissional de TI

para concursos pblicos (BNDES, Petrobras e subsidirias, BACEN, TCU, SUSEP, Tribunais,

Ministrios Pblicos, Receita Federal, entre outros) e na preparao para os cargos de

Engenharia (BNDES e Petrobras), nos cursos preparatrios para concursos presenciais e

telepresenciais: Academia do Concurso, ACP-SAT, Curso Gabarito, CEAV Concursos, CEGM,

Curso Cefis, Curso Debret, Curso Multiplus, Curso Pla, Canal dos Concursos, Eu vou Passar,

Aprova Concursos, entre outros.

1. Apresentao do curso.

Nosso curso ter como foco atender a necessidade do concurseiro que ir fazer a

prova do MPOG (Analista - Tecnologia da Informao) e precisa ter conhecimento sobre o

contedo referente aos tpicos Gesto de Segurana da Informao e Normas de segurana

da informao, conforme abaixo descrito.

Gesto de segurana da informao. 6.1. Poltica de segurana (processos de

definio, implantao e gesto de polticas de segurana e auditoria). 6.2. Classificao da

informao. 6.3. Gesto de risco em segurana da informao (planejamento, identificao,

anlise e tratamento de riscos de segurana). 6.4. Controle de acesso. 6.5. Segurana de

servios terceirizados. 6.6. Gesto de continuidade do negcio (anlise de impacto no

negcio, estratgia de continuidade, Plano de administrao de crises, plano de

continuidade operacional, plano de recuperao de desastres, plano de testes).

Normas de segurana da informao. 7.1. Normas ABNT: NBR 27001:2005

(Sistema de Gesto de Segurana da Informao), NBR 27002:2005 (Cdigo de Boas Prticas

em Segurana da Informao), NBR 27005:2005 (Gesto de Riscos de Segurana), NBR

15999:2007 e ABNT NBR 15999-2:2008 (Gesto de Continuidade do Negcio). 7.2. Normas




do Gabinete de Segurana Institucional GSI-PR: Instruo Normativa GSI n 1 e Normas

complementares n 04, 06, 07, 08 e 11/IN01/DSIC/GSIPR.

1.1. A Banca.

A banca ser o Cespe/UnB que tem grande experincia em provas de concursos

pblicos que tratem das disciplinas de TI. Isso quer dizer que temos uma quantidade bem

generosa de questes para trabalharmos em nosso curso.

O maior obstculo est nas questes de Certo/Errado, onde uma Errada anula uma

Certa, mas nada que seja um bicho de sete cabeas.

S pra lembrar, o edital ainda no foi publicado e a banca do concurso anterior foi a

FUNRIO, mas fontes do MPOG informam que o Cespe organizar o prximo concurso.

1.2. Metodologia das aulas.

Teremos aulas expositivas, descritivas e descontradas com aproximadamente 40

pginas por aula, as quais podero variar em quantidade, dependendo do assunto tratado e

da abordagem oferecida, mas tentando sempre manter tal mdia. Fiquem tranquilos,

normalmente acabamos as aulas em muito mais que isso, pois no gosto de economizar no

contedo que cobrado nas provas dos senhores.

Todas as aulas tero uma introduo terica, abrangendo os assuntos tratados, e

uma bateria de exerccios comentados, para fixao do contedo e aprendizado do estilo da

banca.

Abordarei os assuntos desde o bsico at o avanado, para que o aluno iniciante

tenha conhecimento e contato inicial com os tpicos tratados, e o aluno mais experiente

possa se aprofundar atravs da resoluo de questes.

A aplicao dos exerccios poder variar de aula pra aula, de acordo com a

proporo dos assuntos cobrados em questes de provas anteriores.




2. Contedo programtico e planejamento das aulas (Cronograma)

O Contedo programtico est distribudo de forma que, mesmo quem nunca teve

contato com o assunto, possa compreender o contexto da disciplina e a forma com que ela

abordada pela banca.

Pretendo sempre trabalhar os assuntos conforme o nvel da banca, por isso, tudo

que coloco nas aulas cai ou que pode cair na prova.

Aula Contedo a ser trabalhado

Aula

Demonstrativa

24/02/2015

7.1. Normas ABNT: NBR 27001:2005 (Sistema de Gesto de Segurana da

Informao), NBR 27002:2005 (Cdigo de Boas Prticas em Segurana da

Informao) 6.1. Poltica de segurana (processos de definio, implantao e

gesto de polticas de segurana e auditoria). 6.2. Classificao da informao. 6.4.

Controle de acesso. 6.5. Segurana de servios terceirizados. (Parte 1)

Aula 1

24/02/2015






Aula 2

24/02/2015






Aula 3

24/02/2015






Aula 4

24/02/2015






Aula 5

24/02/2015









Aula 6

10/03/2015

NBR 27005:2005 (Gesto de Riscos de Segurana), NBR 15999:2007 e ABNT NBR

15999-2:2008 (Gesto de Continuidade do Negcio). 6.6. Gesto de continuidade

do negcio (anlise de impacto no negcio, estratgia de continuidade, Plano de

administrao de crises, plano de continuidade operacional, plano de recuperao

de desastres, plano de testes). 6.3. Gesto de risco em segurana da informao

(planejamento, identificao, anlise e tratamento de riscos de segurana). Normas

do Gabinete de Segurana Institucional GSI-PR: Instruo Normativa GSI n 1 e

Normas complementares n 04, 06, 07, 08 e 11/IN01/DSIC/ GSIPR. (Parte 1)

Aula 7

10/03/2015









Aula 8

17/03/2015









Aula 9

24/03/2015









Aula 10 NBR 27005:2005 (Gesto de Riscos de Segurana), NBR 15999:2007 e ABNT NBR




31/03/2015 15999-2:2008 (Gesto de Continuidade do Negcio). 6.6. Gesto de continuidade







Nossa aula de hoje abordar os assuntos referentes NBR ISO/IEC 27001.

3. Informaes iniciais

Antes de adentrarmos na parte tcnica deste assunto, devemos conhecer algumas

informaes, que julgo essenciais, principalmente para quem est a pouco tempo

estudando para concursos na rea de TI. Ento vamos s informaes.

ISO 27001 o padro e a referncia Internacional para a gesto da Segurana da

Informao.

A sua adoo serve para que as organizaes adotem um modelo adequado de

estabelecimento, implementao, operao, monitorizao, reviso e gesto de um Sistema

de Gesto de Segurana da Informao (SGSI).

Este sistema de Gesto de Segurana da Informao um modelo holstico de

abordagem Segurana da Informao e independente de marcas e fabricantes

tecnolgicos.

holstico porque acaba por ser uma abordagem de 360 Segurana da

Informao, tratando de mltiplos temas relacionados ao assunto.

independente de fabricantes porque se destina ao estabelecimento de processos

e procedimentos que depois podem ser materializados realidade de cada organizao de

forma diferente e com a especificidade de cada ambiente tecnolgico e organizacional.

Depois dessa ambientao, vamos ao que interessa!




4. Introduo

4.1. Abordagem de processo

Neste contexto, processo qualquer atividade que faz uso de recursos e os

gerencia para habilitar a transformao de entradas em sadas pode ser considerada um

processo.

OBSERVAO IMPORTANTE:

Frequentemente a sada de um processo forma diretamente a entrada do processo

seguinte.

Abordagem de processo aplicao de um sistema de processos dentro de uma

organizao, junto com a identificao e interaes destes processos, e a sua gesto.

A abordagem de processo relativo ao SGSI de uma organizao tem a finalidade

de:

Estabelecer e Implementar;

Operar

Monitorar

Analisar criticamente

Manter; e

Melhorar.


Segue um macete para ajudar a decorar os processos: (Pode levar a srio, porque

isso pode te ajudar a resolver questes de prova).

EIOMAMM (E) Estabelecer, (I) Implementar e (O) Operar, (M) Monitorar e (A)

Avaliar criticamente, (M) Manter e (M) Melhorar.

E IO MA MM

P D C A

A abordagem de processo enfatiza a importncia de:

Entender os requisitos de segurana da informao e a necessidade de

estabelecer uma poltica e seus objetivos;




Implementar e operar controles para gerenciar os riscos de segurana da

informao de uma organizao;

Monitorar e analisar criticamente o desempenho e eficcia do SGSI; e

Melhoria contnua baseada em medies objetivas.

Veremos agora (Figura 1) o modelo conhecido como "Plan-Do-Check-Act

(PDCA), que aplicado para estruturar todos os processos do SGSI.

Figura 1 Modelo PDCA aplicado aos processos do SGSI

Veja a descrio de cada um dos processos:

1. (FCC - 2011 - TRT - 14 Regio - RO e AC) Estabelecer a poltica, objetivos, processos e

procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da

informao para produzir resultados de acordo com as polticas e objetivos globais de uma




organizao. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta

definio pertence a

a) planejar.

b) agir.

c) fazer.

d) confidencializar.

e) checar.

Comentrio:

Observe a descrio do PDCA destacada em vermelho:

Gabarito: A

2. (CESPE - TCU - 2010) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do

sistema de gesto da segurana da informao (SGSI), constata-se que, no SGSI, o do (fazer)

equivale a executar as aes corretivas e preventivas para alcanar a melhoria contnua do

SGSI.

( ) Certo ( ) Errado

Comentrio:

Observando a tabela acima podemos verificar que:

Do (fazer) quer dizer Implementar e operar a poltica, controles, processos e

procedimentos do SGSI.

A descrio mostrada na questo referente ao Act (agir), veja:




Act (agir) - Executar as aes corretivas e preventivas, com base nos resultados da auditoria

interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para

alcanar a melhoria contnua do SGSI.

Gabarito: ERRADO

4.2. Compatibilidade com outros sistemas de gesto

A tabela abaixo mostra o alinhamento da ISO 27001, 9001 e 14001.




5. Objetivo

O SGSI projetado para assegurar a seleo de controles de segurana

adequados e proporcionados para:

Proteger os ativos de informao; e

Propiciar confiana s partes interessadas.

5.1. Aplicao

Os requisitos que veremos so genricos para possibilitar a aplicao em todas

as organizaes, independentemente de:

Tipo;

Tamanho; e

Natureza.

Precisa-se justificar a excluso de controles necessria para satisfazer os critrios

de aceitao de riscos.

As evidncias de aceitao dos riscos associados pelas pessoas responsveis

precisam ser fornecidas.

3. (FCC - 2011 - TRT - 4 REGIO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre

organizaes do tipo

a) comerciais, somente.

b) governamentais, somente.

c) sem fins lucrativos, somente.

d) comerciais e governamentais, somente.

e) comerciais, governamentais e sem fins lucrativos.

Comentrio:

Veja o item Aplicao mostrado acima:

Os requisitos que veremos so genricos para possibilitar a aplicao em todas

as organizaes, independentemente de:

Tipo;

Tamanho; e

Natureza.




Gabarito: E

4. (CESPE - 2012 - Banco da Amaznia) A respeito de aspectos gerais da norma ABNT NBR

ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre

que empregada, refere-se a sistema de gesto da segurana da informao

De acordo com a referida norma, a excluso de qualquer critrio de aceitao dos riscos

deve ser feita mediante justificativa e evidncias de que os riscos sero aceitos pelas

pessoas responsveis por eles.


Comentrio:

Veja o item Aplicao

Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de

aceitao de riscos precisa ser justificada e as evidncias de que os riscos associados foram

aceitos pelas pessoas responsveis precisam ser fornecidas.

Gabarito: CERTO

6. Termos e definies

Ativo: Qualquer coisa que tenha valor para a organizao.

Disponibilidade: Propriedade de estar acessvel e utilizvel sob demanda por

uma entidade autorizada.

Confidencialidade: Propriedade de que a informao no esteja disponvel ou

revelada a indivduos, entidades ou processos no autorizados.

Segurana da informao: Preservao da confidencialidade, integridade e

disponibilidade da informao; adicionalmente, outras propriedades, tais como

autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar

envolvidas.

Evento de segurana da informao: Uma ocorrncia identificada de um estado

de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da

informao ou falha de controles, ou uma situao previamente desconhecida, que possa

ser relevante para a segurana da informao.




Incidente de segurana da informao: Um simples ou uma srie de eventos de

segurana da informao indesejados ou inesperados, que tenham uma grande

probabilidade de comprometer as operaes do negcio e ameaar a segurana da

informao.

Sistema de gesto da segurana da informao SGSI: A parte do sistema de

gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar,

operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao.

Integridade: Propriedade de salvaguarda (Proteo concedida por uma

autoridade) da exatido e completeza (Algo que mantm a integridade preservada) de

ativos.

Risco residual: Risco remanescente aps o tratamento de riscos.

Aceitao do risco: Deciso de aceitar um risco.

Anlise de riscos: Uso sistemtico de informaes para identificar fontes e

estimar o risco.

Anlise/avaliao de riscos: Processo completo de anlise e avaliao de riscos.

Avaliao de riscos: Processo de comparar o risco estimado com critrios de

risco predefinidos para determinar a importncia do risco.

Gesto de riscos: Atividades coordenadas para direcionar e controlar uma

organizao no que se refere a riscos.

Tratamento do risco: Processo de seleo e implementao de medidas para

modificar um risco.

5. (CESPE - 2012 - TJ/AL) Com base na NBR ISO/IEC n. 27.001/2006, assinale a opo

correta acerca de definies relacionadas gesto de segurana da informao.

a) O sistema de gesto da segurana da informao (SGSI), componente do sistema de

gesto global que se fundamenta na abordagem de riscos do negcio, responsvel pelo

estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e

melhoramento da segurana da informao.

b) Gesto de riscos consiste no processo de comparar o risco estimado com os critrios de

risco predefinidos, a fim de determinar a importncia do risco.

c) Evento de segurana da informao um evento (ou uma srie de eventos) que ocorre

de maneira indesejada ou inesperada, podendo comprometer as operaes do negcio e




ameaar a segurana da informao.

d) O incidente de segurana da informao consiste em um incidente que, caso seja

identificado em um estado de sistema, servio ou rede, indica a ocorrncia de uma possvel

violao da poltica de segurana da informao, bem como de uma falha de controles ou

de uma situao previamente desconhecida que possa ser relevante segurana da

informao.

e) Confidencialidade corresponde propriedade de classificar uma informao sigilosa

como confidencial.

Comentrio:

Segundo a norma temos:

Letra a) CERTO. Sistema de gesto da segurana da informao (SGSI) - A parte do sistema

de gesto global, baseado na abordagem de riscos do negcio, para estabelecer,

implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da

informao.

Letra b) ERRADO. Gesto de riscos - Atividades coordenadas para direcionar e controlar

uma organizao no que se refere a riscos.

Letra c) ERRADO. Evento de segurana da informao - Processo de comparar o risco

estimado com critrios de risco predefinidos para determinar a importncia do risco.

Letra d) ERRADO. Incidente de segurana da informao - Um simples ou uma srie de

eventos de segurana da informao indesejados ou inesperados, que tenham uma grande

probabilidade de comprometer as operaes do negcio e ameaar a segurana da

informao.

Letra e) ERRADO. Confidencialidade - Propriedade de que a informao no esteja

disponvel ou revelada a indivduos, entidades ou processos no autorizados.

Gabarito: A

Declarao de aplicabilidade: Declarao documentada que descreve os

objetivos de controle e controles que so pertinentes e aplicveis ao SGSI da organizao.

OBSERVAES IMPORTANTES:

O sistema de gesto inclui estrutura organizacional, polticas, atividades de




planejamento, responsabilidades, prticas, procedimentos, processos e recursos.

A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de

riscos, a aceitao de riscos e a comunicao de riscos.

Neste contexto controle usado como um sinnimo para medida.

Os objetivos de controle e controles esto baseados nos resultados e concluses

dos processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais

ou regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para

a segurana da informao.

6. (FCC - 2011 - TRT - 1 REGIO (RJ) De acordo com a NBR ISO/IEC 27001, integridade

a) a propriedade de a informao estar acessvel e utilizvel sob demanda por uma

entidade autorizada.

b) a propriedade de que a informao no esteja disponvel ou revelada a indivduos,

entidades ou processos no autorizados.

c) a possvel violao da poltica de segurana da informao ou falha de controles.

d) a propriedade de salvaguarda da exatido e completeza de ativos.

e) qualquer coisa que tenha valor para a organizao.

Comentrio:

Esta questo aborda algumas definies essenciais para este contexto.

As alternativas trazem as definies de:

Letra a) Disponibilidade: Propriedade de estar acessvel e utilizvel sob demanda por uma

entidade autorizada.

Letra b) Confidencialidade: Propriedade de que a informao no esteja disponvel ou

revelada a indivduos, entidades ou processos no autorizados.

Letra c) Evento: possvel violao da poltica de segurana da informao ou falha de

controles.

Letra d) Integridade: Propriedade de salvaguarda (Proteo concedida por uma autoridade)

da exatido e completeza (Algo que mantm a integridade preservada) de ativos.

Letra e) Ativo: Qualquer coisa que tenha valor para a organizao.

Gabarito: D




7. (CESPE - ANEEL - 2010) Os objetivos de controle e os controles pertinentes e aplicveis

ao SGSI da organizao devem ser selecionados exclusivamente com base nos resultados e

concluses dos processos de anlise/avaliao de riscos e de decises acerca de como

controlar, evitar, transferir ou aceitar tais riscos.


Comentrio:

Veja as Observaes Importantes acima. Podemos ver que os objetivos de controle e

controles, esto baseados TAMBM nos resultados e concluses dos processos de

tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e os

requisitos de negcio da organizao. O termo EXCLUSIVAMENTE comprometeu a questo.

Gabarito: ERRADO

7. Sistema de gesto de segurana da informao

A organizao deve estabelecer, implementar, operar, monitorar, analisar

criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades

de negcio globais da organizao e os riscos que ela enfrenta.

Este processo est baseado no modelo de PDCA mostrado na figura 1 (Acima).

7.1. Estabelecendo e gerenciando o SGSI

Para estabelecer o SGSI a organizao deve:

Definir o escopo e os limites do SGSI.

Para isso, a organizao precisa observar sua localizao, ativos e tecnologia,

incluindo detalhes e justificativas para quaisquer excluses do escopo;

Definir uma poltica do SGSI.

A organizao precisa observar sua localizao, ativos e tecnologia que:

1) inclua uma estrutura para definir objetivos e estabelea um

direcionamento global e princpios para aes relacionadas com a segurana

da informao;

2) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes

de segurana contratuais;




3) esteja alinhada com o contexto estratgico de gesto de riscos da

organizao no qual o estabelecimento e manuteno do SGSI iro ocorrer;

4) estabelea critrios em relao aos quais os riscos sero avaliados; e

5) tenha sido aprovada pela direo.


A poltica do SGSI considerada um documento maior da poltica de

segurana da informao.

Definir a abordagem de anlise/avaliao de riscos para:

1) Identificar uma metodologia de anlise/avaliao de riscos que seja adequada

ao SGSI e aos requisitos legais, regulamentares e de segurana da informao,

identificados para o negcio.

2) Desenvolver critrios para a aceitao de riscos e identificar os nveis

aceitveis de risco.


A metodologia de anlise/avaliao de riscos selecionada deve assegurar a

produo de resultados comparveis e reproduzveis.

Identificar os riscos:

1) Identificar os ativos dentro do escopo do SGSI e seus proprietrios.


Proprietrio se refere pessoa ou organismo que tenha uma

responsabilidade autorizada para controlar a produo, o desenvolvimento, a

manuteno, o uso e a segurana dos ativos. Isso no quer dizer que o

proprietrio tenha qualquer direito de propriedade ao ativo.

2) Identificar as ameaas a esses ativos.

3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaas.

4) Identificar os impactos que as perdas de confidencialidade, integridade e

disponibilidade podem causar aos ativos.

Analisar e avaliar os riscos:




1) Avaliar os impactos para o negcio da organizao que podem resultar de

falhas de segurana, levando em considerao as consequncias de uma perda

de confidencialidade, integridade ou disponibilidade dos ativos.

2) Avaliar a probabilidade real da ocorrncia de falhas de segurana luz de

ameaas e vulnerabilidades prevalecentes, e impactos associados a estes ativos

e os controles atualmente implementados.

3) Estimar os nveis de riscos.

4) Determinar se os riscos so aceitveis ou se requerem tratamento utilizando

os critrios estabelecidos.

Identificar e avaliar as opes para o tratamento de riscos:

Possveis aes incluem:

1) aplicar os controles apropriados;

2) aceitar os riscos consciente e objetivamente, desde que satisfaam

claramente s polticas da organizao e aos critrios de aceitao de riscos;

3) evitar riscos; e

4) transferir os riscos associados ao negcio a outras partes, por exemplo,

seguradoras e fornecedores.

Selecionar objetivos de controle e controles para o tratamento de riscos.

Objetivos de controle e controles devem ser selecionados e implementados

para atender aos requisitos identificados pela anlise/avaliao de riscos e pelo

processo de tratamento de riscos.

Esta seleo deve considerar os critrios para aceitao de riscos como

tambm os requisitos legais, regulamentares e contratuais.

Obter aprovao da direo dos riscos residuais propostos.

Obter autorizao da direo para implementar e operar o SGSI.

Preparar uma Declarao de Aplicabilidade.

A Declarao de Aplicabilidade prov um resumo das decises relativas ao

tratamento de riscos.

A justificativa das excluses prov uma checagem cruzada de que nenhum

controle foi omitido inadvertidamente.

Uma Declarao de Aplicabilidade deve ser preparada, incluindo o seguinte:




1) Os objetivos de controle e os controles selecionados e as razes para sua

seleo;

2) Os objetivos de controle e os controles atualmente implementados; e

3) A excluso de quaisquer objetivos de controle e controles com a respectiva

justificativa para sua excluso.

8. (FCC - 2013 - TRT - 18 Regio/GO) A Norma NBR ISO/IEC 27001:2006, na seo que

trata do estabelecimento e gerenciamento do SGSI, orienta que a organizao deve definir

uma poltica do SGSI nos termos das caractersticas do negcio, sua localizao, ativos e

tecnologia que observe as caractersticas listadas abaixo, EXCETO:

a) obtenha a autorizao dos stakeholders (partes interessadas).

b) inclua uma estrutura para definir objetivos e estabelea um direcionamento global e

princpios para aes relacionadas com a segurana da informao.

c) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de segurana

contratuais.

d) esteja alinhada com o contexto estratgico de gesto de riscos da organizao no qual o

estabelecimento e manuteno do SGSI iro ocorrer.

e) estabelea critrios em relao aos quais os riscos sero avaliados.

Comentrio:

Observe que a questo quer a alternativa INCORRETA.

Para estabelecer o SGSI a organizao deve:

Definir o escopo e os limites do SGSI.

Para isso, a organizao precisa observar sua localizao, ativos e tecnologia,

incluindo detalhes e justificativas para quaisquer excluses do escopo;



1) inclua uma estrutura para definir objetivos e estabelea um

direcionamento global e princpios para aes relacionadas com a segurana

da informao; (descrito na letra b)

2) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes

de segurana contratuais; (descrito na letra c)






(descrito na letra d)

4) estabelea critrios em relao aos quais os riscos sero avaliados; e

(descrito na letra e)

5) tenha sido aprovada pela direo.

Como podemos observar, a alternativa a) a nica que no aparece na descrio acima.

A referncia que podemos mencionar sobre ela est no item Manter e melhorar o SGSI A

organizao deve: regularmente comunicar as aes e melhorias a todas as partes

interessadas.

Gabarito: A

9. (CESPE - 2012 - TRE/RJ) De acordo com o estabelecido na mencionada norma, a

organizao, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia

da informao e a abordagem para a avaliao de riscos.


Comentrio:

A ISO 27001 no item Estabelecer o SGSI, no menciona a definio de um plano diretor,

observe o descrito na norma.

A organizao deve:

a) Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a

organizao, sua localizao, ativos e

tecnologia, incluindo detalhes e justificativas para quaisquer excluses do escopo (ver 1.2);

b) Definir uma poltica do SGSI nos termos das caractersticas do negcio, a organizao,

sua localizao, ativos e tecnologia que

d) Identificar os riscos.

e) Analisar e avaliar os riscos.

f) Identificar e avaliar as opes para o tratamento de riscos.

g) Selecionar objetivos de controle e controles para o tratamento de riscos.

h) Obter aprovao da direo dos riscos residuais propostos.

i) Obter autorizao da direo para implementar e operar o SGSI.




j) Preparar uma Declarao de Aplicabilidade.

Gabarito: ERRADO

7.1.1. Implementar e operar o SGSI - A organizao deve

Formular um plano de tratamento de riscos.

Identificando a ao de gesto, recursos, responsabilidades e prioridades.

Implementar o plano de tratamento de riscos.

Incluindo consideraes de financiamentos e atribuio de papis e

responsabilidades.

Implementar os controles selecionados.

Definir como medir a eficcia dos controles ou grupos de controles.

Especificando como estas medidas devem ser usadas para avaliar a eficcia

dos controles de modo a produzir resultados comparveis e reproduzveis.

Implementar programas de conscientizao e treinamento.

Gerenciar as operaes do SGSI.

Gerenciar os recursos para o SGSI.

Implementar procedimentos e outros controles capazes de permitir a pronta

deteco de eventos de segurana da informao e resposta a incidentes de segurana da

informao.

7.1.2. Monitorar e analisar criticamente o SGSI - A organizao deve

Executar procedimentos de monitorao e anlise crtica:

1) detectar erros nos resultados de processamento;

2) identificar tentativas e violaes de segurana bem-sucedidas, e incidentes de

segurana da informao;

3) permitir direo determinar se as atividades de segurana da informao

delegadas a pessoas ou implementadas por meio de tecnologias de informao

so executadas conforme esperado;

4) ajudar a detectar eventos de segurana da informao e assim prevenir

incidentes de segurana da informao pelo uso de indicadores; e




5) determinar se as aes tomadas para solucionar uma violao de segurana

da informao foram eficazes.

Realizar anlises crticas regulares da eficcia do SGSI.

Medir a eficcia dos controles.

Analisar criticamente as anlises/avaliaes de riscos e analisar criticamente os

riscos residuais e os nveis de riscos aceitveis identificados, levando em considerao

mudanas relativas a:

1) organizao;

2) tecnologias;

3) objetivos e processos de negcio;

4) ameaas identificadas;

5) eficcia dos controles implementados;

6) eventos externos.

Conduzir auditorias internas (ou auditorias de primeira) do SGSI.

Realizar uma anlise crtica do SGSI pela direo.

Atualizar os planos de segurana da informao.

Registrar aes e eventos que possam ter um impacto na eficcia ou no

desempenho do SGSI.

10. (FCC - 2012 - TJ/PE) A eficcia dos controles para verificar se os requisitos de segurana

da informao foram atendidos deve ser medida, no Sistema de Gesto de Segurana da

Informao (SGSI), nas fases

a) estabelecer e gerenciar o SGSI.

b) monitorar e analisar criticamente o SGSI.

c) planejar e implantar o SGSI.

d) implementar e operar o SGSI.

e) manter e melhorar o SGSI.

Comentrio:

Observe:

Que o objeto da questo : em qual fase deve ser medida a eficcia dos

controles para verificar se os requisitos de segurana da informao foram atendidos.

A maldade do examinador em colocar nas alternativas d) e e) outras duas




subfases de Estabelecendo e gerenciando o SGSI para confundir o aluno.

Conforme vimos em nossa aula de hoje,

Monitorar e analisar criticamente o SGSI - A organizao deve

Executar procedimentos de monitorao e anlise crtica: ...

Realizar anlises crticas regulares da eficcia do SGSI.

Medir a eficcia dos controles.

Gabarito: B

7.1.3. Manter e melhorar o SGSI A organizao deve regularmente:

Implementar as melhorias no SGSI.

Executar as aes preventivas e corretivas.

Aplicar as lies aprendidas de experincias de segurana da informao de

outras organizaes e aquelas da prpria organizao.

Comunicar as aes e melhorias a todas as partes interessadas.

Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

11. (FCC - 2012 - TRT - 11 Regio/AM) Segundo a norma ISO 27001, para se estabelecer o

Sistema de Gesto de Segurana da Informao (SGSI), considere:

I. A organizao deve definir uma poltica do SGSI nos termos das caractersticas do

negcio, a organizao, sua localizao, ativos e tecnologia que esteja alinhada com o

contexto estratgico de gesto de riscos da organizao no qual o estabelecimento e

manuteno do SGSI iro ocorrer.

II. A organizao deve definir a abordagem de anlise/avaliao de riscos da organizao e

desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco.

III. Identificar e avaliar as opes para o tratamento de riscos, sendo uma possvel ao

aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas

da organizao e aos critrios de aceitao de riscos.

Est correto o que se afirma em

a) I e II, apenas.

b) I e III, apenas.




c) II, apenas.

d) III, apenas.

e) I, II e III.

Comentrio:

Observe o que vimos em nossa aula de hoje no tpico 6.1 Estabelecendo e gerenciando o

SGSI

Item I. CORRETO.





Item II. CORRETO.

Definir a abordagem de anlise/avaliao de riscos para:

2) Desenvolver critrios para a aceitao de riscos e identificar os nveis

aceitveis de risco.

Item III. CORRETO.

Identificar e avaliar as opes para

2) aceitar os riscos consciente e objetivamente, desde que satisfaam

claramente s polticas da organizao e aos critrios de aceitao de riscos;

Gabarito: E

7.2. Requisitos de documentao - A documentao do SGSI deve incluir

Registros de decises da direo

Uma forma de:

Assegurar que as aes sejam rastreveis s polticas e decises da direo.

Assegurar que os resultados registrados sejam reproduzveis.

Demonstrar a relao dos controles selecionados com os resultados da

anlise/avaliao de riscos e do processo de tratamento de riscos, e

consequentemente com a poltica e objetivos do SGSI.

Declaraes documentadas da poltica e objetivos;

Escopo;




Procedimentos e controles que apoiam o SGSI;

Descrio da metodologia de anlise/avaliao de riscos;

Relatrio de anlise/avaliao de riscos;

Plano de tratamento de riscos;

Procedimentos documentados requeridos pela organizao para assegurar:

Planejamento efetivo.

Operao e o controle de seus processos de segurana de informao.

Descrever como medir a eficcia dos controles.

Registros requeridos; e

Declarao de Aplicabilidade.

OBSERVAES IMPORTANTES:

Procedimento documentado igual a procedimento estabelecido,

documentado, implementado e mantido.

A abrangncia da documentao do SGSI variam de acordo com:

o Tamanho da organizao;

o Tipo de suas atividades; e

o Escopo e complexidade dos requisitos de segurana e o do sistema

gerenciado.

Documentos e registros podem estar em qualquer forma ou tipo de mdia.

7.2.1. Controle de documentos

Os documentos requeridos pelo SGSI devem ser protegidos e controlados.

Um procedimento documentado deve ser estabelecido para definir as aes de

gesto necessrias para:

Aprovar, antes de sua emisso, documentos quanto sua adequao;

Analisar criticamente e atualizar e reaprovar documentos;

Assegurar que sejam identificadas as alteraes e a situao da reviso atual

dos documentos;

Assegurar que as verses pertinentes de documentos aplicveis estejam

disponveis nos locais de uso;




Assegurar que os documentos permaneam legveis e prontamente

identificveis;

Assegurar que os documentos:

o Estejam disponveis queles que deles precisam;

o Sejam transferidos, armazenados e finalmente descartados conforme os

procedimentos aplicveis sua classificao;

Assegurar que documentos de origem externa sejam identificados;

Assegurar que a distribuio de documentos seja controlada;

Prevenir o uso no intencional de documentos obsoletos; e

Aplicar identificao adequada nos casos em que sejam retidos para qualquer

propsito.

7.2.2. Controle de registros

Registros devem ser estabelecidos e mantidos para:

Fornecer evidncias de conformidade aos requisitos e da operao eficaz do

SGSI.

Devem ser protegidos e controlados.

O SGSI deve considerar quaisquer requisitos legais ou regulamentares

pertinentes e obrigaes contratuais.

Registros devem permanecer legveis, identificveis e recuperveis.

Controles devem ser documentados e implementados para:

Identificao;

Armazenamento;

Proteo;

Recuperao;

Tempo de reteno; e

Disposio de registros.

Devem ser mantidos:

Registros do desempenho do processo; e

Ocorrncias de incidentes de segurana da informao relacionados ao SGSI.




12. (CESPE - 2009 - TCU) A respeito do diagrama acima, que apresenta um modelo

conceitual sistmico da norma ABNT NBR ISO/IEC 27001, julgue o item.

Entre os documentos e registros cujo controle demandado pela ISO 27001, destacam-se

como documentos a declarao da poltica de segurana, o relatrio de anlise/avaliao

de risco e a declarao de aplicabilidade; alm disso, destacam-se como registros os livros

de visitantes, os relatrios de auditoria, as ocorrncias de incidentes de segurana e outros

registros, inclusive de no conformidade.


Comentrio:

Veja o item Requisitos de documentao - A documentao do SGSI deve incluir:

a) declaraes documentadas da poltica e objetivos do SGSI;

b) o escopo do SGSI;

c) procedimentos e controles que apoiam o SGSI;

d) uma descrio da metodologia de anlise/avaliao de riscos;

e) o relatrio de anlise/avaliao de riscos;

f) o plano de tratamento de riscos;

g) procedimentos documentados requeridos pela organizao para assegurar o

planejamento efetivo, a operao e o controle de seus processos de segurana de

informao e para descrever como medir a eficcia dos controles;

h) registros requeridos por esta Norma; e

i) a Declarao de Aplicabilidade.

So citados na norma como exemplos de registros: livros de visitantes, relatrios

de auditoria e formulrios de autorizao de acesso preenchidos.

Gabarito: CERTO




8. Responsabilidades da direo

A Direo deve fornecer evidncia do seu comprometimento com o:

Estabelecimento;

Implementao;

Operao;

Monitoramento;

Anlise crtica;

Manuteno; e

Melhoria do SGSI

Este comprometimento deve ser comprovado mediante:

Estabelecimento da poltica do SGSI;

Garantia de que so estabelecidos os planos e objetivos do SGSI;

Estabelecimento de papis e responsabilidades pela segurana de

informao;

Comunicao organizao da(s):

o Importncia em atender aos objetivos e a conformidade com a poltica de

segurana de informao

o Responsabilidades perante a lei; e

o Necessidade para melhoria contnua.

Proviso de recursos suficientes para:

o Estabelecer;

o Implementar;

o Operar;

o Monitorar;

o Analisar criticamente;

o Manter e melhorar o SGSI;

Definio de critrios para aceitao de riscos e dos nveis de riscos

aceitveis;

Garantia de que as auditorias internas sejam realizadas; e

Conduo de anlises crticas pela direo.




8.1. Gesto de recursos

A organizao deve determinar e prover os recursos necessrios para:

Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e

melhorar um SGSI;

Assegurar que os procedimentos apoiam os requisitos de negcio;

Identificar e tratar os requisitos legais e regulamentares e obrigaes

contratuais;

Manter a segurana da informao adequada;

Realizar anlises crticas;

Reagir adequadamente aos resultados das anlises crticas; e

Melhorar a eficcia do SGSI.

8.1.1. Treinamento, conscientizao e competncia

A organizao deve assegurar que o pessoal:

Com responsabilidades atribudas definidas no SGSI seja competente no

desempenho das tarefas requeridas

Pertinente esteja consciente da relevncia e importncia das suas atividades

e como eles contribuem para o alcance dos objetivos do SGSI.

A organizao pode assegurar isso:

Determinando as competncias necessrias para o pessoal que executa

trabalhos que afetam o SGSI;

Fornecendo treinamento ou executando outras aes para satisfazer essas

necessidades;

Avaliando a eficcia das aes executadas; e

Mantendo registros de educao, treinamento, habilidades, experincias e

qualificaes.

9. Auditorias internas do SGSI

A organizao:




Deve conduzir auditorias internas.

o Com intervalos planejados;

As auditorias devem determinar se os objetivos de controle, controles,

processos e procedimentos do seu SGSI:

Atendem aos requisitos da ISSO 27001 e legislao ou regulamentaes

pertinentes;

Atendem aos requisitos de segurana da informao identificados;

Esto mantidos e implementados eficazmente; e

So executados conforme esperado.

Um programa de auditoria deve ser planejado levando em considerao

Situao e a importncia dos processos e reas a serem auditadas;

Resultados de auditorias anteriores.

Critrios a serem definidos:

Auditoria;

Escopo;

Frequncia; e

Mtodos.

A seleo dos auditores e a execuo das auditorias devem assegurar

objetividade e imparcialidade do processo de auditoria.

Os auditores no devem auditar seu prprio trabalho.

Devem ser definidos em um procedimento documentado:

As responsabilidades;

Os requisitos para:

o Planejamento;

o Execuo de auditorias;

o Relatar os resultados; e

o Manuteno dos registros.




O responsvel pela rea a ser auditada deve:

Assegurar que as aes sejam executadas, sem demora indevida, para

eliminar as no-conformidades detectadas e suas causas.

As atividades de acompanhamento devem incluir:

Verificao das aes executadas; e

Relato dos resultados de verificao.

10. Anlise crtica do SGSI pela direo

A direo deve analisar criticamente o SGSI da organizao pelo menos uma vez

por ano para assegurar:

Contnua pertinncia;

Adequao; e

Eficcia.

Esta anlise crtica deve incluir:

Avaliao de oportunidades para melhoria; e

Necessidade de mudanas do SGSI, considerando:

o Poltica de segurana da informao

o Objetivos de segurana da informao.

Os resultados dessas anlises crticas devem ser claramente documentados e

seus registros mantidos.

10.1. Entradas para a anlise crtica devem incluir

Resultados de auditorias e anlises crticas;

Realimentao das partes interessadas;

Tcnicas, produtos ou procedimentos:

Desde que possam ser usados na organizao para melhorar o desempenho e

a eficcia do SGSI;

Situao das aes preventivas e corretivas;




Vulnerabilidades/ameaas no contempladas adequadamente nas

anlises/avaliaes de risco anteriores;

Resultados das medies de eficcia;

Acompanhamento das aes oriundas de anlises crticas anteriores pela

direo;

Quaisquer mudanas que possam afetar o SGSI; e

Recomendaes para melhoria.

10.2. Sadas da anlise crtica

Devem incluir quaisquer decises e aes relacionadas a:

Melhoria da eficcia do SGSI.

Atualizao da (o):

o Anlise/avaliao de riscos; e

o Plano de tratamento de riscos.

Modificao de procedimentos e controles que afetem a segurana da

informao:

o Com o objetivo de responder a eventos internos ou externos que possam

impactar no SGSI.

o Essas modificaes devem incluir mudanas de:

- Requisitos de negcio;

- Requisitos de segurana da informao;

- Processos de negcio que afetem os requisitos de negcio existentes;

- Requisitos legais ou regulamentares;

- Obrigaes contratuais; e

- Nveis de riscos e/ou critrios de aceitao de riscos.

Necessidade de recursos.

Melhoria de como a eficcia dos controles est sendo medida.

11. Melhoria do SGSI

A organizao deve continuamente melhorar a eficcia do SGSI utilizando:

Poltica de segurana da informao;




Objetivos de segurana da informao;

Resultados de auditorias;

Anlises de eventos monitorados

Aes corretivas e preventivas;

Anlise crtica pela direo.

11.1. Ao corretiva

A organizao deve executar aes para eliminar as causas de no-

conformidades:

Objetivo: evitar repetio, ou seja, evitar recorrncia da no-conformidade.

Os procedimentos das aes corretivas de no-conformidade devem ser

documentados e definir requisitos para:

Identificar no-conformidades;

Determinar as causas de no-conformidades;

Avaliar a necessidade de aes para assegurar que as no-conformidades se

repitam;

Determinar e implementar as aes corretivas;

Registrar os resultados das aes executadas; e

Analisar criticamente as aes corretivas.

11.2. Ao preventiva

A organizao deve:

Determinar aes para eliminar as causas de no-conformidades potenciais

com os requisitos do SGSI, de forma a evitar a sua ocorrncia.

Identificar mudanas nos riscos.

Identificar requisitos de aes preventivas focando a ateno nos riscos

significativamente alterados.

As aes preventivas devem:

Ser apropriadas aos impactos dos potenciais problemas.

Ter seus procedimentos documentados com requisitos para:




o Identificar no-conformidades potenciais e suas causas;

o Avaliar a necessidade de aes para evitar a ocorrncia de no-

conformidades;

o Determinar e implementar as aes preventivas;

o Registrar os resultados de aes; e

o Analisar criticamente as aes preventivas.

A prioridade de aes preventivas deve ser determinada com base nos

resultados da anlise/avaliao de riscos.


Quem no conhece aquele velho ditado: prevenir melhor que

remediar. Na rea de segurana devemos levar este lema como uma

premissa. Por isso, aes preventivas frequentemente tm melhor custo-

benefcio que as corretivas.

OBSERVAES ADICIONAIS:

Vamos comear pela parte ruim. Agora vamos adentrar em uma parte que

considero um mal necessrio, que so os anexos da ISO 27001. Pensei at

em no coloca-los em nossa aula, mas nunca se sabe completamente o

que o examinador est pensando ou julga importante, vai que o cidado

coloca uma questo dessas.

Como todo assunto tem tambm pelo menos uma parte boa. Como

podem observar pela incidncia de questes, esta parte ainda no foi

cobrada em provas da FCC.

Respirem fundo, vamos l.

12. Objetivos de controle e controles

Uma organizao pode adicionar, se julgar necessrio, objetivos de controle e

controles adicionais aos j existentes na tabela abaixo.




Os objetivos de controle e controles da tabela abaixo devem ser selecionados

como parte do processo de SGSI. Ento vamos a eles:




13. (CESPE - 2013 - TRE/MS) Para proteger uma rea que abriga recursos de processamento

da informao, um rgo pblico, com base na norma ABNT NBR ISO/IEC 27001, instalou

uma porta com controle de acesso por carto, de modo a que somente os colaboradores

previamente autorizados possam acessar esse ambiente.

Nessa situao hipottica, de acordo com a referida norma da ABNT, a medida adotada pelo

rgo pblico associa-se

a) validao de dados de sada.

b) ao controle de vulnerabilidades.

c) ao controle contra cdigos mveis.

d) ao controle de permetro de segurana fsica.

e) coordenao de segurana da informao.

Comentrio:

Gabarito: D




14. (CESPE - 2013 - CNJ) Acerca da gesto de segurana da informao, conforme as normas

da ABNT, julgue os itens a seguir.

A segurana fsica e do ambiente descrita na norma ABNT NBR ISO/IEC 27001, que

estabelece orientao para segurana dos cabeamentos de energia e de telecomunicaes,

destacando o modo como esses cabeamentos devem ser protegidos contra interceptao

ou danos.


Comentrio:

Observe a referncia do assunto da ISO 27001, em nenhum momento ela mostra o modo

como esses cabeamentos devem ser protegidos, por isso a questo est errada.

Gabarito: ERRADO




15. (CESPE - 2013 CNJ) Acerca da gesto de segurana da informao, conforme as normas


De acordo com a norma ABNT NBR ISO/IEC 27001, informaes publicamente

disponibilizadas pela organizao no requerem mecanismos de proteo para a sua

visualizao e modificao.


Comentrio:

Gabarito: ERRADO




Nossa, parece que esse suplcio no vai mais acabar, aguentem s mais um

pouco. Segue uma questo pra quebrar o clima e relaxar.

16. (FCC - 2012 - TRT - 6 Regio/PE) Segundo a ISO/IEC 27001, em relao Proviso de

Recursos, a organizao deve determinar e prover os recursos necessrios para

a) avaliar a necessidade de aes para assegurar que as no conformidades no ocorram.

b) identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade

podem causar aos ativos.

c) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e

fornecedores.

d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar

um SGSI.

e) desenvolver critrios para a aceitao de riscos e identificar nveis aceitveis de risco.

Comentrio:

Observe o tpico acima.

A organizao deve determinar e prover os recursos necessrios para:

Estabelecer, implementar, operar, monitorar, analisar criticamente, manter

e melhorar um SGSI;

Assegurar que os procedimentos apoiam os requisitos de negcio;

Identificar e tratar os requisitos legais e regulamentares e obrigaes

contratuais;

Manter a segurana da informao adequada;

Realizar anlises crticas;

Reagir adequadamente aos resultados das anlises crticas; e

Melhorar a eficcia do SGSI.

Gabarito: D




17. (CESPE - 2013 - SERPRO) Com base nas normas de segurana da informao, julgue o

item seguinte.

De acordo com a norma ISO 27001, a gesto de riscos um processo que inclui preveno,

deteco e resposta a incidentes, atuao, manuteno, anlise crtica e auditoria. Todas

essas etapas so contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir

(Act).


Comentrio:

Gesto de segurana:

Gabarito: CERTO

13. Princpios da OECD e o modelo PDCA descrito da ISO 27001

Primeiro o que OECD?

A Organizao para a Cooperao e Desenvolvimento Econmico uma

organizao internacional composta por de 34 pases que aceitam os princpios

da democracia representativa e da economia de livre mercado, que procura

fornecer uma plataforma para comparar polticas econmicas, solucionar

problemas comuns e coordenar polticas domsticas e internacionais.

Mais o que essa Organizao tem a ver com segurana da informao e

principalmente com o nosso contexto?




Os princpios definidos pelas Diretrizes de OECD para a Segurana de

Sistemas de Informao e Redes aplicam-se para toda a poltica e nveis

operacionais que governam a segurana de sistemas de informao e redes.

A ISO 27001 prov uma estrutura de um sistema de gesto de segurana da

informao para implementar alguns dos princpios da OECD que usam o

modelo PDCA e os processos descritos nos itens (J vistos em nossa aula de

hoje):

o Sistema de gesto de segurana da informao;

o Responsabilidades da direo;

o Auditorias internas do SGSI; e

o Melhoria do SGSI.

Os princpios esto descrito na tabela abaixo:




14. Correspondncia entre as ISO 9001, 14001 e 27001

Vamos acabar logo com esse sofrimento, observe a correspondncia na tabela

abaixo:

18. (CESPE - 2012 -TRE/RJ) A poltica de segurana da informao integra o SGSI e a diretriz

para a implementao dessa poltica detalhada na referida norma.


Comentrio:

A ISO 27001 possui os requisitos para aplicao do SGSI. As diretrizes so definidas pela ISO

27002. Portanto a questo est errada.

Gabarito: ERRADO




19. (CESPE - 2008 SERPRO) A respeito das normas de segurana da informao, julgue o

item subsequente.

A ISO/IEC 27001:2006 a principal norma de mercado acerca de aspectos operacionais




tecnolgicos que devem ser implementados nos servidores de arquivos e equipamentos de

conectividade, para controle de acesso de usurios maliciosos.


Comentrio:

Na NBR ISO/IEC 27001 os controles de segurana so apenas citados e so muito

abrangentes, e podem ter vrias interpretaes. J a NBR ISO/IEC 27002 contem todos os

controles que 27001 s que com explicaes e exemplos de implementao.

Gabarito: ERRADO

15. Lista das Questes Utilizadas na Aula.

1. (FCC - 2011 - TRT - 14 Regio - RO e AC) Estabelecer a poltica, objetivos, processos e

procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da

informao para produzir resultados de acordo com as polticas e objetivos globais de uma

organizao. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta

definio pertence a

a) planejar.

b) agir.

c) fazer.

d) confidencializar.

e) checar.

2. (CESPE - TCU - 2010) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do

sistema de gesto da segurana da informao (SGSI), constata-se que, no SGSI, o do (fazer)

equivale a executar as aes corretivas e preventivas para alcanar a melhoria contnua do

SGSI.


3. (FCC - 2011 - TRT - 4 REGIO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre

organizaes do tipo

a) comerciais, somente.

b) governamentais, somente.




c) sem fins lucrativos, somente.

d) comerciais e governamentais, somente.

e) comerciais, governamentais e sem fins lucrativos.

4. (CESPE - 2012 - Banco da Amaznia) A respeito de aspectos gerais da norma ABNT NBR

ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre

que empregada, refere-se a sistema de gesto da segurana da informao

De acordo com a referida norma, a excluso de qualquer critrio de aceitao dos riscos

deve ser feita mediante justificativa e evidncias de que os riscos sero aceitos pelas

pessoas responsveis por eles.


5. (CESPE - 2012 - TJ/AL) Com base na NBR ISO/IEC n. 27.001/2006, assinale a opo

correta acerca de definies relacionadas gesto de segurana da informao.

a) O sistema de gesto da segurana da informao (SGSI), componente do sistema de

gesto global que se fundamenta na abordagem de riscos do negcio, responsvel pelo

estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e

melhoramento da segurana da informao.

b) Gesto de riscos consiste no processo de comparar o risco estimado com os critrios de

risco predefinidos, a fim de determinar a importncia do risco.

c) Evento de segurana da informao um evento (ou uma srie de eventos) que ocorre

de maneira indesejada ou inesperada, podendo comprometer as operaes do negcio e

ameaar a segurana da informao.

d) O incidente de segurana da informao consiste em um incidente que, caso seja

identificado em um estado de sistema, servio ou rede, indica a ocorrncia de uma possvel

violao da poltica de segurana da informao, bem como de uma falha de controles ou

de uma situao previamente desconhecida que possa ser relevante segurana da

informao.

e) Confidencialidade corresponde propriedade de classificar uma informao sigilosa

como confidencial.




6. (FCC - 2011 - TRT - 1 REGIO (RJ) De acordo com a NBR ISO/IEC 27001, integridade

a) a propriedade de a informao estar acessvel e utilizvel sob demanda por uma entidade

autorizada.

b) a propriedade de que a informao no esteja disponvel ou revelada a indivduos,

entidades ou processos no autorizados.

c) a possvel violao da poltica de segurana da informao ou falha de controles.

d) a propriedade de salvaguarda da exatido e completeza de ativos.

e) qualquer coisa que tenha valor para a organizao.

7. (CESPE - ANEEL - 2010) Os objetivos de controle e os controles pertinentes e aplicveis ao

SGSI da organizao devem ser selecionados exclusivamente com base nos resultados e

concluses dos processos de anlise/avaliao de riscos e de decises acerca de como

controlar, evitar, transferir ou aceitar tais riscos.


8. (FCC - 2013 - TRT - 18 Regio/GO) A Norma NBR ISO/IEC 27001:2006, na seo que trata

do estabelecimento e gerenciamento do SGSI, orienta que a organizao deve definir uma

poltica do SGSI nos termos das caractersticas do negcio, sua localizao, ativos e

tecnologia que observe as caractersticas listadas abaixo, EXCETO:

a) obtenha a autorizao dos stakeholders (partes interessadas).

b) inclua uma estrutura para definir objetivos e estabelea um direcionamento global e

princpios para aes relacionadas com a segurana da informao.

c) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de segurana

contratuais.

d) esteja alinhada com o contexto estratgico de gesto de riscos da organizao no qual o

estabelecimento e manuteno do SGSI iro ocorrer.

e) estabelea critrios em relao aos quais os riscos sero avaliados.

9. (CESPE - 2012 - TRE/RJ) De acordo com o estabelecido na mencionada norma, a

organizao, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia

da informao e a abordagem para a avaliao de riscos.





10. (FCC - 2012 - TJ/PE) A eficcia dos controles para verificar se os requisitos de segurana

da informao foram atendidos deve ser medida, no Sistema de Gesto de Segurana da

Informao (SGSI), nas fases

a) estabelecer e gerenciar o SGSI.

b) monitorar e analisar criticamente o SGSI.

c) planejar e implantar o SGSI.

d) implementar e operar o SGSI.

e) manter e melhorar o SGSI.

11. (FCC - 2012 - TRT - 11 Regio/AM) Segundo a norma ISO 27001, para se estabelecer o

Sistema de Gesto de Segurana da Informao (SGSI), considere:

I. A organizao deve definir uma poltica do SGSI nos termos das caractersticas do negcio,

a organizao, sua localizao, ativos e tecnologia que esteja alinhada com o contexto

estratgico de gesto de riscos da organizao no qual o estabelecimento e manuteno do

SGSI iro ocorrer.

II. A organizao deve definir a abordagem de anlise/avaliao de riscos da organizao e

desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco.

III. Identificar e avaliar as opes para o tratamento de riscos, sendo uma possvel ao

aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas

da organizao e aos critrios de aceitao de riscos.

Est correto o que se afirma em

a) I e II, apenas.

b) I e III, apenas.

c) II, apenas.

d) III, apenas.

e) I, II e III.




12. (CESPE - 2009 - TCU) A respeito do diagrama acima, que apresenta um modelo

conceitual sistmico da norma ABNT NBR ISO/IEC 27001, julgue o item.

Entre os documentos e registros cujo controle demandado pela ISO 27001, destacam-se

como documentos a declarao da poltica de segurana, o relatrio de anlise/avaliao de

risco e a declarao de aplicabilidade; alm disso, destacam-se como registros os livros de

visitantes, os relatrios de auditoria, as ocorrncias de incidentes de segurana e outros

registros, inclusive de no conformidade.


13. (CESPE - 2013 - TRE/MS) Para proteger uma rea que abriga recursos de processamento

da informao, um rgo pblico, com base na norma ABNT NBR ISO/IEC 27001, instalou

uma porta com controle de acesso por carto, de modo a que somente os colaboradores

previamente autorizados possam acessar esse ambiente.

Nessa situao hipottica, de acordo com a referida norma da ABNT, a medida adotada pelo

rgo pblico associa-se

a) validao de dados de sada.

b) ao controle de vulnerabilidades.

c) ao controle contra cdigos mveis.

d) ao controle de permetro de segurana fsica.

e) coordenao de segurana da informao.

14. (CESPE - 2013 - CNJ) Acerca da gesto de segurana da informao, conforme as normas


A segurana fsica e do ambiente descrita na norma ABNT NBR ISO/IEC 27001, que

estabelece orientao para segurana dos cabeamentos de energia e de telecomunicaes,




destacando o modo como esses cabeamentos devem ser protegidos contra interceptao

ou danos.


15. (CESPE - 2013 CNJ) Acerca da gesto de segurana da informao, conforme as normas


De acordo com a norma ABNT NBR ISO/IEC 27001, informaes publicamente

disponibilizadas pela organizao no requerem mecanismos de proteo para a sua

visualizao e modificao.


16. (FCC - 2012 - TRT - 6 Regio/PE) Segundo a ISO/IEC 27001, em relao Proviso de

Recursos, a organizao deve determinar e prov

aula 00 demo cg ati gsi mpog 6309

Documents