Este documento apresenta a primeira aula de um curso sobre gestão da segurança da informação com foco nos padrões ISO 27001, 27002 e 27005. O curso é ministrado por Fernando Palma e contém 50 questões sobre os temas abordados nas normas. A aula introduz o curso e discute os objetivos, estrutura e principais tópicos das normas.
Gestão de segurança da informação para concursos questões cespe 01
1. Exercícios de Gestão da Segurança da Informação –
ISO 27001, 27002 e 27005
Módulo 01 : Exercícios CESPE (questões 01 a 50)
Aula 01- apresentação do módulo
Professor Fernando Palma
ITIL Expert, ISO 27002 Advanced Management (ISMAS), COBIT, OCEB
Contatos: fpalma@portalgsti.com.br, fernando.palma@gmail.com
www.portalgsti.com.br
Exercícios comentados - GSI
Seja bem vindo!
2. Sobre este material
Material das aulas de amostra do Módulo 01 – Exercícios CESPE
Aula 01
Curso disponível em: http://www.provasdeti.com.br/por-
professor/a-m/fernando-palma/gsicespex1-para-concursos.html
3. Fernando Palma
Consultor e professor em Governança de TI, Gestão de Serviços de
TI e Gestão da Segurança da Informação.
Mestrando em Administração de Empresas, graduado em Sistemas
de Informação.
Certificado ITIL Expert, ITIL Manager, ISO 27002 Advanced
Management (ISMAS), OMG Expert em BPMN, ISO 20.000
Foundation, COBIT Foundation e ISO 27002 Foundation.
Treinou mais de 01 mil profissionais em ITIL e COBIT nos últimos 05 anos e trabalha
também no segmento de ensino para concursos.
É Professor de MBA na UNIJORGE e Ruy Barbosa em disciplinas de Gestão de Serviços de,
Governança de TI e Gestão da Segurança da Informação.
Atuou como coordenador de TI no Hospital da Bahia, consultor, coordenador de equipe de
sistemas e gerente de servicedesk pela Avansys Tecnologia.
Fundador e administrador do Portal GSTI: www.portalgsti.com.br
Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com
Sobre o professor
4. O que veremos?
Módulo 01 (este módulo): 50 questões CESPE
Total de 09 aulas
Módulo 02: + 50 questões CESPE*
Em breve: módulos de exercícios para FCC, ESAF e outras
bancas!
* Não faz parte deste módulo
5. Estatísticas das questões – geral
Tema Conteúdo Quantidade Percentual
ISO 27001 Seção 00 a 03 4 8%
Seção 04 - SGSI 9 18%
Seção 05 a 08 2 4%
ISO 27002 Seção 00 a 04 1 2%
Diretrizes 14 28%
Controles – Anexo A ISO 27001
ou norma ISO 27002
14 28%
ISO 27005 3 6%
Outros 3 6%
TOTAL 50 100%
6. Estatísticas das questões – geral
Controles x diretrizes (total de 28 questões)
14 questões –
50%
14
questões -
50%
Juntos, representam + de 56% das 50 questões
7. Estatísticas das questões – controles e diretrizes
Seção Quantidade Percentual
Seção 5 – Política de Segurança da Informação 5 18%
Seção 6 – Organizando a Segurança da Informação 2 7%
Seção 7 – Gestão de Ativos 2 7%
Seção 8 – Segurança em Recursos Humanos 1 3,5%
Seção 9 – Segurança Física e do Ambiente 2 7%
Seção 10 – Gestão das Operações e Comunicações 5 18%
Seção 11 – Controle de Acesso 2 7%
Seção 12 – Aquisição, Desenvolvimento e
Manutenção de Sistemas de Informação
1 3,5%
Seção 13 – Gestão de Incidentes de Segurança 2 7%
Seção 14 – Gestão da Continuidade do Negócio 4 14%
Seção 15 – Conformidade 2 7%
TOTAL 28 100%
8. Dicas para melhor aproveitamento
Você irá se ajudar muito se...
Realizar o curso do professor Thiago Fagury, no site provas de TI:
04 módulos
Fizer a leitura das normas antes de resolver as questões
Usar os resumos e mapas mentais extras disponibilizados para
quem adquiriu este curso de resolução de exercícios
Apertar pause sempre que a leitura da questão
foi concluída
9. Norma Escopo
Visão Geral e Vocabulário
Requisitos de Sistemas de Gestão de Segurança da
Informação
Código de prática para Gestão da Segurança da
Informação
Diretrizes para Implementação de Sistemas de Gestão
de Segurança da Informação
Métricas de Sistemas de Gestão de Segurança da
Informação
Diretrizes para o processo de Gestão de Riscos de
Segurança da Informação
ISO 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27005
ISO 27004
Mais : http://en.wikipedia.org/wiki/ISO/IEC_27000-series
11. Norma
ISO 27001
0. Introdução 1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança
da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A
Objetivos
de controle
e controles
Anexo B
Anexo C
Fernando Palma
12. ANEXO A
ISO 27001
A 5.Política de segurança da informação
A6.Organizando a segurança da informação
A7.Gestão de Ativos
A8.Segurança em recursos humanos
A9.Segurança Física e do Ambiente
A.10.Gerenciamento de operações e comunicações
A.11.Controle de Acesso
A.12.Aquisição, desenvolvimento e manutenção
de sistemas da informação
A.13.Gestão de Incidentes de Segurança da
informaçãoA.14. Gestão de Continuidade dos Negócios
A.15.Conformidade
13. 0. Introdução
0.1 Geral
0.2 Abordagem de processo
0.3 Compatibilidade com outros sistemas de gestão
1. Objetivo
1.1 Geral
1.2 Aplicação
14. 2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
4.1 Requisitos gerais
4.2 Estabelecendo e gerenciando o SGSI
4.2.1 Estabelecer o SGSI
4.2.2 Implementar e operar o SGSI
4.2.3 Monitorar e analisar criticamente o SGSI
4.2.4 Manter e melhorar o SGSI
4.3 Requisitos de documentação
4.3.1 Geral
4.3.2 Controle de documentos
4.3.3 Controle de registros
15. 5. Responsabilidades da direção
5.1 Comprometimento da direção
5.2 Gestão de recursos
5.2.1 Provisão de recursos
5.2.2 Treinamento, conscientização e competência
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
7.1. Geral
7.2. Entradas para a análise crítica
7.3. Saídas da análise crítica
18. Anexo A
ISO 27001
A.5.Política de segurança da informação
A.6.Organizando a segurança da informação
A.7.Gestão de Ativos
A.8.Segurança em recursos humanos
A.9.Segurança Física e do Ambiente
A.10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
20. Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
21. 0. Introdução
0.1. O que é segurança da informação
0.2. Por que a segurança da informação é necessária?
0.3. Como estabelecer requisitos de segurança da informação?
0.4. Analisando/avaliando os riscos de Segurança da Informação
0.5. Seleção de controles
0.6. Ponto de partida para a segurança da informação
0.7. Fatores Críticos de Sucesso
0.8. Desenvolvendo suas próprias diretrizes
1. Objetivo
22. 3.1. Seções
3.2. Principais categorias de segurança da informação
3. Estrutura desta norma
2. Termos e definições
4. Análise/avaliação de tratamento de riscos
4.1. Analisando/avaliando riscos de segurança
da informação
4.2. Tratando Riscos de Segurança da Informação
23. 5. Política de segurança da informação
6. Organizando a Segurança da Informação
5.1. Política de segurança da Informação (5.1. 1. Documento 5.1.2.
Análise crítica)
6.1. Organização interna
6.2. Partes Externas
7. Gestão de ativos
7.1. Responsabilidades pelos ativos
7.2. Classificação das informações
24. 8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
8.1. Antes da contratação
8.2. Durante a contratação
8.3. Encerramento ou mudança da contratação
9.1. Área segura
9.2. Segurança de equipamentos
25. 10.Gerenciamento de operações e comunicações
10.1. Procedimentos e responsabilidades operacionais
10.2. Gerenciamento de serviços terceirizados
10.3. Planejamento e aceitação dos sistemas
10.4. Proteção contra códigos maliciosos e códigos móveis
10.5. Cópias de segurança
10.6. Gerenciamento da segurança em redes
10.7. Manuseio de mídias
10.8. Troca de informações
10.9. Serviços de comércio eletrônico
10.10. Monitoramento
26. 11. Controle de acesso
11.1. Requisitos de negócio para controle de acesso
11.2. Gerenciamento de acesso do usuário
11.3. Responsabilidades dos usuários
11.4. Controle de acesso à rede
11.5. Controle de acesso ao sistema operacional
11.6. Controle de acesso à aplicações e a informação
11.7. Computação móvel e trabalho remoto
27. 12. Aquisição, desenvolvimento e manutenção de
sistemas da informação
12.1. Requisição de segurança de sistemas de informação
12.2. Processamento correto nas aplicações
12.3. Controles criptográficos
12.4. Segurança dos arquivos do sistema
12.5. Segurança em processos de desenvolvimento e de suporte
12.6. Gestão de vulnerabilidade técnicas
28. 13. Gestão de Incidentes de Segurança da
informação
13.1. Notificação de fragilidades e eventos de segurança da
informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do
negócio relativos a segurança da informação
29. 15. Conformidade
15.1. Conformidade com requisitos legais
15.2. Conformidade com normas e políticas de segurança da
informação e conformidade técnica
15.3. Considerações quanto à auditoria de sistemas de informação
32. (ISO 27005 - P. 8) Tabela 1 – Alinhamento do processo do SGSI e do
processo de gestão de riscos de segurança da informação
Processo SGSI Processo de gestão de riscos de segurança da
informação
Planejar - estabelecendo o
SGSI
Definição do contexto
Análise/avaliação de riscos
Plano de tratamento do risco
Aceitação do risco
Executar - Implementação e
Operação do SGSI
Implementação do plano de tratamento do risco
Verificar - Monitoramento e
análise crítica do SGSI
Monitoramento contínuo e análise crítica de riscos
Agir - Manutenção e Melhoria
do SGSI
Manter e melhorar o processo de Gestão de Riscos
de Segurança da Informação
34. Fim da aula 01
Professor Fernando Palma
ITIL Expert, COBIT, OCEB, Exin ISO 27002
Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com
www.portalgsti.com.br
Exercícios comentados - GSI
Módulo 01 : Exercícios CESPE (questões 01 a 50)