Guia de Preparao

EXIN Fundamentos
de Segurana da
Informao

baseado na norma
ISO/IEC 27002
Edio Fevereiro 2013

No part of this publication may be published. copied or stored in a data processing system or circulated in any form by print. reproduced.PR) 2 2 . Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS. photo print. microfilm or any other means without written permission by EXIN.Copyright  201 3 EXIN All rights reserved.

PR) 3 3 .Contedo 1 2 3 4 Viso Geral Requisitos do exame Lista de conceitos bsicos Literatura 4 7 12 15 Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.

a manuteno. (Definio da norma ISO/IEC 27002) A segurana das informaes vem ganhando importncia no mundo da Tecnologia da Informao (TI). o Cdigo de Prtica para Segurana da Informao ISO/IEC 27002:2005. O principal objetivo do Guia  identificar os assuntos tratados no exame. Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.PR) 4 4 . a implementao. No mdulo Fundamentos de Segurana da Informao do EXIN baseado na norma ISO/IEC 27002 so testados os conceitos bsicos de segurana da informao e suas relaes.PR) Resumo Os Guias de Preparao so desenhados para auxiliar provedores de treinamentos a desenvolver cursos e materiais didticos que atendam aos requisitos do EXIN. A globalizao da economia est gerando uma troca cada vez maior de informaes entre as organizaes (seus funcionrios. Um dos objetivos desse mdulo  aumentar a conscientizao de que as informaes so valiosas e vulnerveis e aprender quais medidas so necessrias para proteg-las.  uma norma amplamente respeitada e consultada e fornece uma estrutura para a organizao e o gerenciamento de um programa de segurana das informaes. Nos mdulos de Segurana da Informao do EXIN. os requisitos e especificaes do exame e o pblico-alvo para apoiar o desenvolvimento de novos cursos de alta qualidade. Uma compreenso categrica desta norma  importante para o desenvolvimento pessoal de todos os profissionais de segurana das informaes. clientes e fornecedores) bem como uma exploso no uso de computadores em rede e dispositivos de informtica. utiliza-se a seguinte definio: A Segurana da Informao lida com a definio. a conformidade e a avaliao de um conjunto coerente de controles (medidas) que garantam a disponibilidade. A implementao de um programa com base nesta norma ser muito til para o objetivo de uma organizao de atender a muitas das necessidades apresentadas no complexo ambiente operacional da atualidade.1 Viso Geral EXIN Fundamentos de Segurana da Informao baseado na normaISO/IEC 27002 (ISFS. A segurana da informao  a proteo das informaes de uma grande variedade de ameaas com o objetivo de assegurar a continuidade do negcio. minimizar o risco do negcio e maximizar o retorno sobre os investimentos e as oportunidades de negcios. a integridade e a confidencialidade da fonte de informaes (manual e automtica). A norma internacional.

  e Contexto Programa de qualificao O Certificado de Gerenciamento Avanado de Segurana da Informao baseado na ISO/IEC 27002 segue o Certificado de EXIN Fundamentos de Segurana da Informao baseados na ISO/IEC 27002.  Ameaas e riscos: a relao entre as ameaas e confiabilidade.  Legislao e regulamentao: a importncia e funcionamento. O certificado em Fundamentos de Segurana da Informao do EXIN baseado na norma ISO/IEC 27002 faz parte do programa de qualificao em Segurana da Informao.Os tpicos para este mdulo so:  Informao e segurana: os conceitos. Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.PR) 5 5 . o valor da informao e da importncia da confiabilidade. tcnica e organizacional. Abordagem e organizao: a poltica de segurana e estabelecimento da Segurana da Informao. Medidas: fsica. O mdulo  seguido pelos certificados de G erenciamento de Segurana da Informao Avanado do EXIN baseado na norma ISO/IEC 27002 e Gerenciamento de Segurana da Informao Especializado do EXIN baseado na norma ISO/IEC 27002.

e coffee breaks. Isso inclui as Provedores de Treinamento A lista das empresas credenciadas para ministrar este e ou tros treinamentos do Exin encontra-se no nosso site: http://www. (Isso no  aplicvel nos casos de ensino  distncia / CBT .computer based training/e-learning) Horas de contato O nmero mnimo de horas de contato durante o curso  de atividades em grupo.PR) 6 6 .  tambm aplicvel a proprietrios de pequenas empresas a quem alguns conceitos bsicos de Segurana da Informao so necessrios. 7 horas. mas no inclui tarefas de casa.com Curso Quantidade de alunos em classe O nmero mximo de alunos em sala  25.com . Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.exin. preparao da logstica de exame e horrio de almoo.exin.Pb Qualquer pessoa na organizao que manuseia informaes. preparao para o exame. Este mdulo pode ser um excelente ponto de partida para novos profissionais de segurana da informao. lico-alvo Pr -requisitos Nenhum Formato do exame Exame com questes de mltipla escolha Estimativa de Tempo de Estudo 60 horas Exerccio prtico No aplicvel Tempo destinado ao exame 60minutos Detalhes do exame Nmero de questes: Mnimo para aprovao: 40 65 % (26 de 4 0) no no Com consulta: Equipamentos eletrnicos permitidos: Exemplos de questes Voc pode fazer o download do simulado e se preparar melhor para o exame acessando http://www.

O candidato deve domnio requisitos do exame so elaborados na especificao do exame.1 Ameaas e riscos 2.5 2. riscos e confiabilidade da informao 3.5 2.2 Componentes da organizao da segurana 3.3 Aspectos de confiabilidade 2 Ameaas e riscos 3 Abordagem e organizao 2.3 Gerenciamento de incidentes 4 Medidas 4.5 5 40 10 10 10 10 10 10 100 Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS. Os Requisitos de exame 1 Informao e segurana Especificao de exame (% ) 1.3 Medidas tcnicas 4.4 Medidas organizacionais 5 Legislao e regulamentao 5.2 Requisitos do exame Os requisitos do exame so os principais temas de um mdulo.1 O conceito de informao 1.2 Valor da informao 1.2 Medidas fsicas 4.1 Legislao e regulamentao Total Peso 10 2.5 5 30 15 15 10 2.1 Poltica de segurana e organizao de segurana 3.1 Importncia de medidas de segurana 4.2 Relacionamento entre ameaas. ter o completo sobre estes temas.PR) 7 7 .

3 Aspectos de confiabilidade (5%) O candidato conhece os aspectos de confiabilidade (confidencialidade. Ameaas e riscos (30%) 2. integridade.2 Explicar a relao entre uma ameaa e um risco 2.3. O candidato  capaz de: 2.1.1 Nome dos aspectos de confiabilidade da informao 1.3 Descreva os vrios tipos de ameaas 2.2 Descrever os aspectos de confiabilidade da informao 2.1.5%) O candidato entende o valor da informao para as organizaes.5 Descrever diferentes estratgias de risco Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.1. de risco e anlise de risco 2.3.1.1 Explicar a diferena entre os dados e informaes 1.2 Descrever como o valor de dados / informaes pode influenciar as organizaes 1.1 Ameaa e risco (15%) O candidato compreende os conceitos de ameaa e risco.2.2 Valor da informao (2.1.1.1 Explicar os conceitos de ameaa.1. disponibilidade) da informao.2.PR) 8 8 . O candidato  capaz de: 1. O candidato  capaz de: 1. Informao e Segurana (10%) 1.4 Descreva os vrios tipos de danos 2. O candidato  capaz de: 1.1 Descrever o valor de dados / informao para as organizaes 1.2 Descrever o meio de armazenamento que faz parte da infraestruturabsica 1.1 O conceito de informao (2.3 Explicar como conceitos aplicados de segurana de informaes protegem o valor de dados / informaes 1.Requisitos e especificaes do exame 1.2.5%) O candidato entende o conceito de informao.

1 Explicar a importncia de um cdigo de conduta 3.3 Explicar as consequncias da no notificao de incidentes de segurana 3.1.1 enunciar os objetivos e o contedo de uma poltica de segurana 3. O candidato  capaz de: 2.2 enunciar os objetivos e o contedo de uma organizao de segurana 3.3.5%) Organizao (10%) O candidato tem conhecimento da poltica de segurana e conceitos de organizao de segurana.3 Nomear os mais importantes na organizao da segurana da informao 3. (15%) O candidato compreende a relao entre as ameaas.2.2 Descrever os efeitos que os vrios tipos de ameaas tm sobre a informao e ao tratamento das informaes 3.3 Gerenciamento de Incidentes (5%) O candidato compreende a importncia da gesto de incidentes e es caladas.1.2. riscos e confiabilidade das informaes.6 Explicar o ciclo do incidente Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.2.PR) 9 9 . O candidato  capaz de: 3.4 Explicar o que implica uma escalada (funcional e hierrquico) 3.2 Explicar a importncia da propriedade 3. riscos e confiabilidade das informaes. O candidato  capaz de: 3.3.3.1 Poltica de Segurana e organizao de segurana (2. Abordagem e 3.1 Reconhecer exemplos dos diversos tipos de ameaas 2.3.2. O candidato  capaz de: 3.3.2.2.2 Componentes da organizao da segurana (2.3.2 Relacionamento entre ameaas.1 Resumir como incidentes de segurana so comunicados e as informaes que so necessrias 3.5 Descrever os efeitos da escalada dentro da organizao 3.2 Dar exemplos de incidentes de segurana 3.5%) O candidato conhece as vrias componentes da organizao da segurana.

6 Explicar a importncia para uma organizao de um bem montado Gerenciamento da Continuidade de Negcios 4.4 Explicar o objetivo da classificao das informaes 4.1.3 Compreender os conceitos de criptografia.7 Tornar clara a importncia da realizao de exerccios Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.3.4.1 Dar exemplos de medidas de segurana fsica 4. O candidato  capaz de: 4.3.2 Descrever os perigos e riscos envolvidos com insuficientes medidas de segurana organizacional 4.3.5 Descrever os conceitos de identificao.4.4.4 Descrever os princpios de gesto de acesso 4.2 Descrever os riscos envolvidos com insuficie ntes medidas de segurana tcnica 4.PR) 10 10 .1 Medidas (40%) Importncia das medidas de segurana (10%) O candidato entende a importncia de medidas de segurana.1.3 M edidas de ordem tcnica (10%) O candidato tem conhecimento tanto da criao quanto da execuo de medidas de segurana tcnica.4.3.4. assinatura digital e certificado 4.3 Explicar a relao entre os riscos e medidas de segurana 4.4.4. O candidato  capaz de: 4. O candidato  capaz de: 4.5 Descrever o efeito da classificao 4. pagamento) 4.5 Nomear vrios tipos de software malicioso 4.1 Dar exemplos de medidas de segurana tcnica 4.2.2 Descrever os riscos envolvidos com insuficientes medidas de segurana fsica 4. 4.1 Dar exemplos de medidas de segurana organizacional 4.6 Descrever as medidas que podem ser usadas contra software malicioso 4.4 Nome das trs etapas para a banca online (PC.1.4 Medidas organizacionais (10%) O candidato tem conhecimento tanto da criao quanto da execuo de medidas de segurana organizacional.2 Medidas de segurana fsica (10%) O candidato tem conhecimento tanto da criao e execuo de medidas de segurana fsica. web site.3.3 Descrever as medidas de segurana de acesso.2 Dar exemplos de cada tipo de medida de segurana 4.2.3.4. autenticao e autorizao 4.1 Descrever as maneiras pelas quais as medidas de segurana podem ser estruturadas ou organizadas 4.1. O candidato  capaz de: 4. tais como a segregao de funes e do uso de senhas 4.1.

1 Legislao e regulamentao (10%) Legislao e regulamentos (10%) O candidato entende a importncia e os efeitos da legislao e regulamentaes. Consequentemente. as medidas so fundamentais para o mdulo e tm o maior peso.3 Dar exemplos de regulamentos relacionados à segurança da informação 5. As medidas de segurana so.1.1. a percepo da poltica.4 Indicar as medidas possíveis que podem ser tomadas para cumprir as exigências da legislação e regulamentação Justificativa de escolhas Requisitos para o exame: justificativa da distribuio de peso. O candidato  capaz de: 5. A seguir. para a maioria do pessoal.PR) 11 11 .1. organizao e legislao e regulamentao na rea de Segurana da Informao so necessrias para compreender a importncia das medidas de Segurana da Informao.5. 5. os primeiros aspectos de Segurana da Informao que essas pessoas encontram. ameaas e riscos em termos de peso. Finalmente.1 Explicar porque a legislação e as regulamentações são importantes para a confiabilidade da informação 5.2 Dar exemplos de legislação relacionada à segurança da informação 5. Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.1.

Os termos esto listados em ordem alfabtica .PR) 12 12 .              Ameaa Anlise da Informao Anlise de Risco Anlise de risco qualitativa Anlise quantitativa de risco Arquitetura da Informao Assinatura Digital Ativo Auditoria Autenticao Autenticidade Autorizao Avaliao de Riscos (anlise de              dependncia e vulnerabilidade)          Backup (Cpia de segurana) Biometria Botnet Categoria Certificado Chave Ciclo de Incidentes Classificao Cdigo de boas prticas de Threat Information analysis Risk Analysis Qualitative risk analysis Quantitative risk analysis Information Architecture Digital Signature Asset Audit Authentication Authenticity Authorization Risk Assessment (Dependency & Vulnerability analysis)          segurana da informao Backup Biometrics Botnet Category Certificate Key Incident Cycle Classification Code of practice for information security (ISO/IEC 27002:2005) (ISO/IEC 27002:2005)             Cdigo de conduta Completeza Confiabilidade das informaes Confidencialidade Conformidade Continuidade Medidas Controle de Acesso Corretiva Criptografia Dados Danos             Danos diretos Desastre Detectiva Completeness Reliability of information Confidentiality Compliance Continuity Controls Access Control Corrective Encryption Data Damage Direct damage Danos indiretos   Code of conduct Indirect damage   Disaster Detective Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.3 Lista de conceitos bsicos Este captulo contm os termos com os quais os candidatos devem mostrar familiaridade.

   Disponibilidade Engenharia Social Escalao    Escalao funcional Escalao hierrquica  Estratgia de Risco      Exatido Reter riscos Evitar riscos  Reduo de riscos  Exclusividade Fator de produo Firewall pessoal Fornecedor Ininterrupto de Energia (UPS-Uninterruptible Power Supply) Gerenciamento da Continuidade                  Business Continuity Management (BCM) Information management Change Management Logical Access Management Risk Management Hacking Hoax Identification Impact Security incident Information Infrastructure Public Key Infrastructure (PKI)       Integrity Interference ISO/IEC 27001:2005 ISO/IEC 27002:2005 Copyright legislation Computer criminality legislation  de Negcios (GCN)                   Gerenciamento da Informao Gerenciamento da Mudana Gerenciamento de acesso lgico Gerenciamento de riscos Hacking Hoax Identificao Impacto Incidente de Segurana Informao Infraestrutura Infraestrutura de chave pblica (ICP) Integridade Interferncia ISO/IEC 27001:2005 ISO/IEC 27002:2005 Legislao de direitos autorais Legislao sobre Crimes de Availability Social Engineering Escalation Functional escalation Hierarchical escalation Risk Strategy Risk bearing Risk avoiding Risk reduction Correctness Exclusivity Production factor Personal Firewall Uninterruptible power supply(UPS) Informtica  Legislao sobre proteo de   Legislao sobre registros  Personal data protection legislation Public records legislation         Malware Security measure Storage Medium Non-repudiation Opportunity Security organization Patch Phishing dados pessoais pblicos         Malware Medida de segurana Meio de armazenamento Oportunidade No repdio Organizao de Segurana Patch Phishing Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.PR) 13 13 .

 Plano de Continuidade de  Business Continuity Plan (BCP) Negcios (PCN)  Plano de Recuperao de  Disaster Recovery Plan (DRP)           Poltica de mesa limpa           Clear desk policy Privacy policy Security policy Maintenance door Precision Preventive Priority Virtual Private Network (VPN) Reductive Security regulations for special information for the government Desastre (PRD) Poltica de Privacidade Poltica de Segurana Porta de Manuteno Preciso Preventiva Prioridade Rede privada virtual (RPV) Redutiva Regulamentao de segurana para informaes especiais p/ o governo                  Regulamentao de Segurana para o governo Repressiva Risco Robustez Rootkit Segregao de funes Sistema de Informao Spam Spyware Stand-by Trojan Urgncia Validao Verificao Vrus Vulnerabilidade Worm                  Security regulations for the government Repressive Risk Robustness Rootkit Segregation of duties Information system Spam Spyware Stand-by arrangement Trojan Urgency Validation Verification Virus Vulnerability Worm Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS.PR) 14 14 .

H.3 A: Captulo 6 4.3 A: Captulo 8. Captulo 4 1.2 A: Captulo 7 4. J. Captulo 10 5. A. and Baars.1 A: Captulo 5.1 A: Captulo 9 3. 2010 ISBN 978 90 8753 568 1 eBook ISBN 978 90 87 53 624 3 Viso geral da literatura Especificao do exame 1.. Captulo 10 4.1 A: Captulo 11 Guia de Preparação de Documentos EXIN Fundamentos da Segurança da Informação baseado na normaISO/IEC 27002 (ISFS. Smulders.2.1 Literatura A: Captulo 3.2 A: 6.4 Literatura Literatura de Suporte para o Exame A Hintzbergen.4.4 A: Captulo 9. Captulo 6 4.2 A: Captulo 5 3. 6.1 A: Captulo 5 2. Foundations ofInformation Security – Based on ISO27001 and ISO27002 Van Haren Publishing.PR) 15 15 . Hintzbergen.2 A: Captulo 4 1. K.. Captulo 9 3.3 A: Captulo 4 2.

exin.Contato EXIN www.com .