Aula 00 Gestão de Segurança da Informação I · 2020. 8. 26. · • ISO/IEC 27000 – Princípios e Vocabulário. Define a nomenclatura utilizada nas normas seguintes da família

Prof. Gleyson Azevedo

Aula 00

1 de 28 | www.direcaoconcursos.com.br

Gestão da Segurança da Informação – Analista Legislativo – Informática –

AL-CE

Aula 00 – Gestão de Segurança

da Informação – I

Gestão de Segurança da Informação – Analista

Legislativo – Informática – AL-CE



Aula 00



AL-CE

Sumário

SUMÁRIO 2

APRESENTAÇÃO 3

VISÃO GERAL 5

NBR ISO/IEC 27001:2013 7

0. INTRODUÇÃO 9

1. ESCOPO 10

2. REFERÊNCIA NORMATIVA 11

3. TERMOS E DEFINIÇÕES 12

4. CONTEXTO DA ORGANIZAÇÃO 13

5. LIDERANÇA 14

6. PLANEJAMENTO 16

7. APOIO 18

8. OPERAÇÃO 20

9. AVALIAÇÃO DO DESEMPENHO 21

10. MELHORIA 22

QUESTÕES COMENTADAS PELO PROFESSOR 23

LISTA DE QUESTÕES 25

GABARITO 28


Aula 00



AL-CE

Apresentação

Olá! Sou o professor Gleyson Azevedo e aqui no Direção Concursos ministro as disciplinas Redes

de Computadores e Segurança da Informação. Sou formado em Engenharia de Telecomunicações pelo

Instituto Militar de Engenharia (IME), Rio de Janeiro-RJ. Possuo Mestrado na área de Segurança da

Informação pela mesma instituição e nessa área atuo há treze anos.

Sou professor em cursos de pós-graduação nas áreas de Telecomunicações, de Redes de

Computadores e de Segurança da Informação, participo frequentemente de seminários e de congressos

proferindo palestras sobre temas como Criptografia, Segurança de Redes e Defesa Cibernética.

Minha experiência com o mundo dos concursos teve início em 2008 e desde então tenho

ministrado as disciplinas de Redes de Computadores e de Segurança da Informação em cursos

preparatórios nas capitais de diversos estados de nosso país. Já ministrei aulas nas cidades de Brasília,

Rio de Janeiro, Recife, Fortaleza, Belo Horizonte, Salvador e Manaus.

Mais recentemente, tenho voltado minha atenção para o treinamento de técnicas de estudo,

neuroaprendizagem e aprendizagem acelerada, sempre com foco na aprovação de alunos e orientandos

em concursos públicos.

A disciplina de Redes de Computadores costuma ser um problema para muitos concurseiros da

área de Tecnologia da Informação (TI), em especial para quem não é do perfil de suporte ou de

infraestrutura. Nosso trabalho aqui tem por objetivo torná-la absolutamente acessível para todos e

temos convicção, após onze anos preparando e aprovando percentual expressivo de alunos nos mais

diversos e importantes concursos do país, que iremos fazer o mesmo por você.

Neste material você terá:

Curso completo em VÍDEO

teoria e exercícios resolvidos sobre TODOS os pontos do edital

Curso completo escrito (PDF) teoria e MAIS exercícios resolvidos sobre TODOS os pontos do edital

Fórum de Dúvidas

para você sanar DIRETAMENTE conosco sempre que precisar


Aula 00



AL-CE

Você está começando agora a estudar para concursos? Não se preocupe! Este curso também te

atende. Veremos toda a teoria que você precisa e resolveremos muitos exercícios para que você possa praticar bastante cada aspecto estudado e entender bem como a banca gosta de cobrar cada tema. Minha recomendação nestes casos é que você comece assistindo as videoaulas, para em seguida enfrentar as aulas em PDF. Fique à vontade para me procurar no fórum de dúvidas sempre que for necessário.

Caso você queira tirar alguma dúvida antes de adquirir o curso, basta me enviar um email ([email protected]) ou um direct pelo Instagram.

Conheça ainda as minhas outras redes sociais para acompanhar de perto o meu trabalho:

@gleysonazevedo

/bloggleysonazevedo

/gleyson131

mailto:[email protected]


Aula 00



AL-CE

Visão Geral

A série de normas ISO/IEC 27000 inclui padrões de segurança da informação publicados em

conjunto pela Organização Internacional de Padronização (International Organization for Standardization

– ISO) e pela Comissão Eletrotécnica Internacional (International Electrotechnical Commission – IEC).

A série fornece recomendações de melhores práticas sobre gerenciamento de segurança da

informação, que compreende o gerenciamento de riscos de segurança da informação por meio de

controles, no contexto de um Sistema de Gestão de Segurança da Informação (SGSI), com desenho

similar aos sistemas de gestão para garantia de qualidade (série ISO 9000), de proteção ambiental (série

ISO 14000) e outros sistemas de gerenciamento.

O escopo é deliberadamente amplo, abrangendo mais do que apenas questões que envolvem a

privacidade ou confidencialidade e o contexto TI/técnico/cibersegurança. É aplicável a organizações de

todas as formas e tamanhos. Todas as organizações são incentivadas a avaliar seus riscos de informação

e tratá-los, normalmente empregando controles de segurança da informação, de acordo com suas

necessidades, usando as orientações e sugestões quando relevantes. Dada a natureza dinâmica do risco

e da segurança da informação, o conceito de SGSI incorpora atividades contínuas de feedback e

aprimoramento para responder a mudanças nas ameaças, vulnerabilidades ou impactos de incidentes.

Os padrões são produto do trabalho desenvolvido pelo Subcomitê 27 (SC27), do Comitê Técnico

Conjunto 1 (JTC1) da ISO/IEC, um organismo internacional que se reúne pessoalmente duas vezes por

ano.

CONTEXTO HISTÓRICO

Muitas pessoas e organizações estão envolvidas no desenvolvimento e manutenção dos padrões

ISO27000. A primeira norma da série foi a ISO/IEC 17799:2000, que era baseada no padrão britânico BS

7799 parte 1: 1999. Por sua vez, a versão inicial do BS 7799 foi baseada, em parte, em um manual de

política de segurança da informação desenvolvido pelo Royal Dutch/Shell Group entre o final dos anos

80 e início dos anos 90. Em 1993, o que era então o Departamento de Comércio e Indústria (Reino Unido)

reuniu uma equipe para revisar as práticas existentes em segurança da informação, com o objetivo de

produzir um documento normativo. Em 1995, o Grupo BSI publicou a primeira versão do BS 7799. A

ISO/IEC 17799:2000 foi revisada em 2005 e teve seu nome modificado em 2007, passando a se chamar

ISO/IEC 27002:2005. Essa norma foi revisada, dando origem à ISO/IEC 27002:2013.

A segunda parte da BS7799 foi publicada pela primeira vez pela BSI em 1999, conhecida como BS

7799 Parte 2, e intitulada "Sistemas de Gestão de Segurança da Informação – Especificação com

Orientações para Uso". A BS 7799-2 focou em como implementar um sistema de gestão de segurança da

informação (SGSI), referindo-se à estrutura e aos controles necessários ao gerenciamento da segurança

da informação identificados na BS 7799-2. Ela se tornou mais tarde a ISO/IEC 27001:2005. Por fim, a

revisão dessa norma deu origem à atual ISO/IEC 27001:2013.


Aula 00



AL-CE

A BS 7799 Parte 3 foi publicada em 2005, cobrindo análise e gerenciamento de riscos. Está

alinhada com a ISO / IEC 27001: 2005 e fomentou a produção da norma ISO/IEC 27005:2008. A versão

atual dessa norma é a

NORMAS MAIS RELEVANTES

Seguem abaixo as principais normas dessa família:

• ISO/IEC 27000 – Princípios e Vocabulário. Define a nomenclatura utilizada nas normas

seguintes da família 27000.

• ISO/IEC 27001 – Tecnologia da Informação – Técnicas de segurança – Sistemas de Gestão de

Segurança da Informação – Requisitos. Única norma da família 27000 que é passível de certificação

acreditada. Todas as seguintes são apenas guias de boas práticas.

• ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para

controles de segurança da informação. Apresenta um rol de objetivos de controle e de controles de

segurança da informação.

• ISO/IEC 27003 – Tecnologia da informação – Técnicas de Segurança – Sistemas de gestão de

segurança da informação – Guia de Boas Práticas. Serve como guia para auxiliar a implantação de um

SGSI na forma de projeto.

• ISO/IEC 27004 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da

informação – Monitorização, medição, análise e avaliação. Serve de orientação para a medição da

eficácia de controles.

• ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos da

segurança da informação. Compreende parte essencial do processo executado para manter um SGSI.

• ISO/IEC 27006 – Tecnologia da informação – Técnicas de segurança – Requisitos para corpo

de auditoria e certificação de sistemas de gestão da segurança da informação. Utilizada por auditores,

juntamente com a ISO/IEC 19011, para a realização de auditoria em organizações que desejem

• ISO/IEC 27007 – Tecnologia da informação – Técnicas de segurança – Diretrizes para auditoria

de sistemas de gestão da segurança da informação.


Aula 00



AL-CE

NBR ISO/IEC 27001:2013

ESTRUTURA

Conhecer a estrutura da norma é fundamental e é importante que se saiba exatamente os títulos

e do que trata cada uma das seções.

A norma ABNT NBR ISO/IEC 27001:2013 possui a seguinte estrutura:

0. Introdução

0.1 Geral

0.2 Compatibilidade com outras normas de sistemas de gestão

1. Escopo

2. Referência normativa

3. Termos e definições

4. Contexto da organização

4.1 Entendendo a organização e seu contexto

4.2 Entendendo as necessidades e as expectativas das partes interessadas

4.3 Determinando o escopo do sistema de gestão da segurança da informação

4.4 Sistema de gestão da segurança da informação

5. Liderança

5.1 Liderança e comprometimento

5.2 Política

5.3 Autoridades, responsabilidades e papéis organizacionais

6. Planejamento

6.1 Ações para contemplar riscos e oportunidades

6.2 Objetivo de segurança da informação e planejamento para alcançá-los

7. Apoio

7.1 Recursos

7.2 Competência

7.3 Conscientização

7.4 Comunicação


Aula 00



AL-CE

7.5 Informação documentada

8. Operação

8.1 Planejamento operacional e controle

8.2 Avaliação de riscos de segurança da informação

8.3 Tratamento de riscos de segurança da informação

9. Avaliação do desempenho

9.1 Monitoramento, medição, análise e avaliação

9.2 Auditoria interna

9.3 Análise crítica pela Direção

10. Melhoria

10.1 Não conformidade e ação corretiva

10.2 Melhoria contínua

Anexo A (normativo) – Referência aos controles e objetivos de controles

Atenção especial deve ser dada ao anexo A desta norma, que é um quadro resumo com todos os

objetivos de controle e controles da norma ABNT NBR ISO/IEC 27002:2013. Todavia, enquanto a 27001

só possui a citação dos controles, os detalhes e as diretrizes para implementação deles estão somente

na norma 27002.

Ao longo do texto a seguir, dê atenção especial a todas as partes que se encontrarem destacadas

em negrito, pois além delas observarem pontos importantes do texto normativo, já foram ou possuem

grande potencial de cobrança em questões de prova.

Para facilitar a diferenciação, doravante, os comentários do professor estarão em itálico.


Aula 00



AL-CE

0. Introdução

0.1 GERAL

Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e

melhorar continuamente (EIMM) um sistema de gestão de segurança da informação (SGSI).

A adoção de um SGSI é uma decisão estratégica para uma organização.

O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas

suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho

e estrutura da organização.

É esperado que todos estes fatores de influência mudem ao longo do tempo.

O SGSI preserva a confidencialidade, integridade e disponibilidade da informação por meio da

aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que

os riscos são adequadamente gerenciados.

É importante que um SGSI seja parte de, e esteja integrado com, os processos da organização

e com a estrutura de administração global, e que a segurança da informação seja considerada no

projeto dos processos, sistemas de informação e controles.

É esperado que a implementação de um SGSI seja planejada de acordo com as necessidades da

organização.

Esta Norma pode ser usada por partes internas e externas, para avaliar a capacidade da

organização em atender aos seus próprios requisitos de segurança da informação.

A ordem na qual os requisitos são apresentados nesta Norma não reflete sua importância nem

implica a ordem em que devem ser implementados. Os itens listados são numerados apenas para fins de

referência.

0.2 COMPATIBILIDADE COM OUTRAS NORMAS DE SISTEMAS DE GESTÃO

Esta Norma aplica a estrutura de alto nível, os títulos de subseções idênticos, textos idênticos,

termos comuns e definições básicas, apresentadas no Anexo SL da ISO/IEC Directives, Part 1,

Consolidated ISO Supplement, mantendo desta forma a compatibilidade com outras normas de

sistemas de gestão que adotaram o Anexo SL.

Esta abordagem comum definida no Anexo SL será útil para aquelas organizações que escolhem

operar um único sistema de gestão que atenda aos requisitos de duas ou mais normas de sistemas

de gestão.

O objetivo dessa subseção é dizer que, caso uma organização deseje possuir um sistema de gestão

que compreenda a aplicação de duas ou mais normas de sistemas de gestão, como um sistema de gestão de

qualidade (ISO 9001), um sistema de gestão ambiental (ISO 14001) e um SGSI (ISO 27001), esse processo

seria facilitado devido a essas três normas possuírem estrutura idêntica, o que facilitaria o entendimento e a

aplicação delas.


Aula 00



AL-CE

1. Escopo

Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar

continuamente um SGSI dentro do contexto da organização.

Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da

informação voltados para as necessidades da organização.

Os requisitos definidos nesta Norma são genéricos e são pretendidos para serem aplicáveis a

todas as organizações, independentemente do tipo, tamanho ou natureza.

A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável quando

a organização busca a conformidade com esta Norma.

Requisitos, segundo essa norma, são obrigações que devem ser atendidas para que se esteja em

conformidade com o texto normativo. Eles estão dispostos entre as seções 4 e 10, inclusive. Desta forma,

caso uma organização deseje pleitear obter a certificação com esta norma, ela não poderá deixar de, em

hipótese alguma, cumprir todos requisitos previstos.

É importante não confundir os requisitos da 27001 com requisitos de segurança da informação. Estes

últimos podem ser entendidos como necessidades de segurança e serão explicados adequadamente na

discussão da norma 27002.


Aula 00



AL-CE

2. Referência Normativa

O documento relacionado a seguir é indispensável à aplicação deste documento:

• ISO/IEC 27000, Information technology – Security techniques – Information security

management systems – Overview and vocabular.

Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas,

aplicam-se as edições mais recentes do referido documento (incluindo emendas).

A 27001:2006 colocava a norma 27002 como indispensável à sua aplicação. Na 27001:2013, a

referência é exclusivamente a 27000, que é uma norma de definições e visão geral de segurança da

informação.


Aula 00



AL-CE

3. Termos e Definições

Para os efeitos deste documento, aplicam-se os termos e definições apresentados na ISO/IEC

27000.

A versão atual da norma não traz qualquer termo ou definição. Todavia, seguem alguns exemplos de

termos e definições importantes presentes na versão antiga e que já foram objeto de cobrança em questões

de prova:

• Sistema de Gestão da Segurança da Informação (SGSI) – a parte do sistema de gestão global,

baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar

criticamente, manter e melhorar (EIOMAMM) a segurança da informação. Inclui: estrutura organizacional,

políticas, planejamento de atividades, responsabilidades, práticas, procedimentos, processos e recursos.

• Evento de segurança da informação – uma ocorrência identificada de um estado de sistema,

serviço ou rede indicando uma possível violação da política de segurança da informação ou falha de

controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da

informação.

• Incidente de segurança da informação – um simples ou uma série de eventos de segurança da

informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as

operações do negócio e ameaçar a segurança da informação. Pode-se simplificadamente afirmar que é um

conjunto de eventos e é crítico, enquanto o evento de segurança da informação é apenas relevante.

• Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade

autorizada.

• Confidencialidade – propriedade de que a informação não esteja disponível ou revelada a

indivíduos, entidades ou processos não autorizados.

• Integridade – propriedade de salvaguarda da exatidão e completeza de ativos.

• Ativo – qualquer coisa que tenha valor para a organização.

• Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle

e controles que são pertinentes e aplicáveis ao SGSI da organização.


Aula 00



AL-CE

4. Contexto da Organização

A partir daqui começam os requisitos da norma 27001:2013.

4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO

A organização deve determinar as questões internas e externas que são relevantes para o seu

propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu SGSI.

Nota: A determinação destas questões refere-se ao estabelecimento do contexto interno e

externo da organização apresentado em 5.3 da ABNT NBR ISO 31000:2009.

A despeito da norma ISO/IEC 27005 versar sobre riscos de segurança da informação, a norma 27001

não faz qualquer referência a ela em seu texto. Mais que isso: todas as referências que ela faz a norma que

trate de riscos são direcionadas à 31000.

4.2 ENTENDENDO AS NECESSIDADES E AS EXPECTATIVAS DAS PARTES INTERESSADAS

A organização deve determinar:

• as partes interessadas que são relevantes para o SGSI;

• os requisitos dessas partes interessadas relevantes para a segurança da informação.

NOTA: Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares,

bem como obrigações contratuais.

4.3 DETERMINANDO O ESCOPO DO SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

A organização deve determinar os limites e a aplicabilidade do SGSI para estabelecer o seu

escopo.

Quando da determinação deste escopo, a organização deve considerar:

• as questões internas e externas referenciadas em 4.1;

• os requisitos referenciados em 4.2; e

• as interfaces e dependências entre as atividades desempenhadas pela organização e aquelas

que são desempenhadas por outras organizações.

O escopo deve estar disponível como informação documentada.

Todas as vezes que a norma cita que algo deve estar disponível como informação documentada, isso

significa que aquilo se trata de evidência de auditoria de que requisito(s) da norma está(ão) sendo

cumprido(s).

4.4 SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

A organização deve estabelecer, implementar, manter e continuamente melhorar um SGSI, de

acordo com os requisitos desta Norma.


Aula 00



AL-CE

5. Liderança

Esta é uma das seções mais cobradas da norma em questões de prova e o estudo dela deve ser o mais

minucioso possível.

5.1 LIDERANÇA E COMPROMETIMENTO

A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI pelos

seguintes meios:

• assegurando que a política de segurança da informação e os objetivos de segurança da

informação estão estabelecidos e são compatíveis com a direção estratégica da organização;

• garantindo a integração dos requisitos do SGSI dentro dos processos da organização;

• assegurando que os recursos necessários para o SGSI estão disponíveis;

• comunicando a importância de uma gestão eficaz da segurança da informação e da

conformidade com os requisitos do SGSI;

• assegurando que o SGSI alcança seus resultados pretendidos;

• orientando e apoiando pessoas que contribuam para eficácia do SGSI;

• promovendo a melhoria contínua;

• apoiando outros papéis relevantes da gestão para demonstrar como sua liderança se aplica

às áreas sob sua responsabilidade.

Apesar de todos os requisitos acima serem importantes, dê especial atenção aos três primeiros.

Particularmente, perceba que o terceiro diz que a responsabilidade da alta direção no tocante a recursos é,

especificamente, assegurar a sua disponibilidade. Compare com o disposto no item 7.1.

5.2 POLÍTICA

A Alta Direção deve estabelecer uma política de segurança da informação que:

• seja apropriada ao propósito da organização;

• inclua os objetivos de segurança da informação (ver 6.2) ou forneça a estrutura para

estabelecer os objetivos de segurança da informação;

• inclua o comprometimento em satisfazer os requisitos aplicáveis, relacionados com a

segurança da informação;

• inclua o comprometimento com a melhoria contínua do SGSI.

A política de segurança da informação deve:

• estar disponível como informação documentada;

• ser comunicada dentro da organização; e

• estar disponível para as partes interessadas, conforme apropriado.

5.3 AUTORIDADES, RESPONSABILIDADES E PAPÉIS ORGANIZACIONAIS

A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para

a segurança da informação sejam atribuídos e comunicados.

A Alta Direção deve atribuir a responsabilidade e autoridade para:


Aula 00



AL-CE

• assegurar que o SGSI está em conformidade com os requisitos da Norma;

• relatar sobre o desempenho do SGSI para a Alta Direção.

NOTA: A Alta Direção pode também atribuir responsabilidades e autoridades para relatar o

desempenho do SGSI dentro da organização.


Aula 00



AL-CE

6. Planejamento

Assim como a anterior, esta é também uma seção bastante cobrada em questões de prova. Deve-se

dar especial atenção aos itens 6.1.2, 6.1.3 e 6.2.

6.1 AÇÕES PARA CONTEMPLAR RISCOS E OPORTUNIDADES

6.1.1 GERAL

A organização deve planejar:

• as ações para considerar estes riscos e oportunidades; e

• como

• integrar e implementar estas ações dentro dos processos do seu SGSI; e

• avaliar a eficácia destas ações.

6.1.2 AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO

A organização deve definir e aplicar um processo de avaliação de riscos de segurança da

informação que:

• estabeleça e mantenha critérios de riscos de segurança da informação que incluam:

• os critérios de aceitação do risco; e

• os critérios para o desempenho das avaliações dos riscos de segurança da informação;

• assegure que as contínuas avaliações de riscos de segurança da informação produzam

resultados comparáveis, válidos e consistentes;

• identifique os riscos de segurança da informação:

• analise os riscos de segurança da informação:

• avalie os riscos de segurança da informação:

• compare os resultados da análise dos riscos com os critérios de riscos estabelecidos; e

• priorize os riscos analisados para o tratamento do risco.

A organização deve reter informação documentada sobre o processo de avaliação de risco de


É importante observar duas questões aqui:

1) o processo de avaliação de riscos descrito aqui contempla o estabelecimento de critérios de risco,

que não é tarefa efetivamente relacionada a esse processo, mas à definição de contexto, segundo a norma

27005;

2) maiores detalhes sobre as ações executadas em cada uma das fases do processo de avaliação de

riscos serão vistos no estudo da norma 27005.

6.1.3 TRATAMENTO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO

A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:

• selecionar as opções de tratamento dos riscos, levando em consideração os resultados da avaliação do risco;


Aula 00



AL-CE

• determinar todos os controles que são necessários para implementar as opções escolhidas

do tratamento do risco;

• comparar os controles determinados com aqueles do Anexo A e verificar se algum controle necessário foi omitido;

• elaborar uma declaração de aplicabilidade que contenha os controles necessários e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A;

• preparar um plano para tratamento dos riscos de segurança da informação;

• obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação.

A organização deve reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação.

NOTA: O processo de tratamento e a avaliação dos riscos de segurança da informação desta Norma estão alinhados com os princípios e diretrizes gerais definidos na ABNT NBR ISO 31000.

Na 27001:2006, os controles eram escolhidos tendo como referência inicial o anexo A da norma e depois outros controles podiam complementar o rol de escolhas. Na versão atual, a ordem é: primeiro são escolhidos os controles desejáveis, depois a lista é comparada com o anexo A para verificar eventuais omissões.

Mais uma vez a norma citada no tocante ao gerenciamento de riscos é a 31000 e não a 27005, como

se poderia imaginar.

6.2 OBJETIVO DE SEGURANÇA DA INFORMAÇÃO E PLANEJAMENTO PARA ALCANÇÁ-LOS

A organização deve estabelecer os objetivos de segurança da informação para as funções e níveis

relevantes.

Os objetivos de segurança da informação devem ser:

• consistentes com a política de segurança da informação;

• ser mensuráveis (quando aplicável);

• levar em conta os requisitos de segurança da informação aplicáveis e os resultados da

avaliação e tratamento dos riscos;

• ser comunicados; e

• ser atualizados, conforme apropriado.

A organização deve reter informação documentada dos objetivos de segurança da informação.

Quando do planejamento para alcançar os seus objetivos de segurança da informação, a

organização deve determinar:

• o que será feito;

• quais recursos serão necessários;

• quem será responsável;

• quando estará concluído;

• como os resultados serão avaliados.


Aula 00



AL-CE

7. Apoio

Uma diferença marcante entre a 27001:2013 e a 27001:2006 está na não citação textual do ciclo

PDCA na versão mais recente. Depreende-se que este ciclo ocorre de forma implícita, mas não é citado

diretamente.

A despeito disso, é comum a percepção de que as seções 4 a 7 compreenderiam o processo de

planejamento (Plan), a seção 8 a execução (Do), a seção 9 a verificação (Check) e a seção 10 a ação corretiva

(Act). Fazendo paralelo disso com os verbos auxiliares comumente empregados em relação a essas etapas

do PDCA, a saber, estabelecer (Plan), implementar e operar (Do), monitorar e analisar criticamente (Check),

manter e melhorar (Act), pode-se afirmar que as seções 4 a 7 correspondem ao estabelecimento do SGSI.

Esse tipo de associação já foi objeto de cobrança em provas de concurso público.

7.1 RECURSOS

A organização deve determinar e prover recursos necessários para o estabelecimento,

implementação, manutenção e melhoria contínua do SGSI.

Observe que nesta norma há dois requisitos relacionados com recursos e com dois responsáveis

distintos:

1) determinar e prover recursos – a organização;

2) assegurar a disponibilidade de recursos – alta direção (ver 5.1 da norma).

7.2 COMPETÊNCIA

A organização deve:

• determinar a competência necessária das pessoas que realizam trabalho sob o seu controle

e que afeta o desempenho da segurança da informação;

• assegurar que essas pessoas são competentes, com base na educação, treinamento ou

experiência apropriados;

• onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das

ações tomadas; e

• reter informação documentada apropriada como evidência da competência.

NOTA: ações apropriadas podem incluir, por exemplo: fornecimento de treinamento para os

facilitadores, os funcionários atuais ou pessoas competentes, próprias ou contratadas.

7.3 CONSCIENTIZAÇÃO

Pessoas que realizam trabalho sob o controle da organização devem estar cientes da:

• política de segurança da informação;

• suas contribuições para a eficácia do SGSI, incluindo os benefícios da melhoria do desempenho

da segurança da informação;

• implicações da não conformidade com os requisitos do SGSI.


Aula 00



AL-CE

7.4 COMUNICAÇÃO

A organização deve determinar as comunicações internas e externas relevantes para o SGSI

incluindo:

• o que comunicar;

• quando comunicar;

• quem comunicar;

• quem será comunicado; e

• o processo pelo qual a comunicação será realizada.

7.5 INFORMAÇÃO DOCUMENTADA

7.5.1 GERAL

O SGSI da organização deve incluir:

• informação documentada requerida por esta Norma;

• informação documentada determinada pela organização como sendo necessária para a

eficácia do SGSI.

7.5.2 CRIANDO E ATUALIZANDO

Quando da criação e atualização da informação documentada, a organização deve assegurar, de

forma apropriada:

• identificação e descrição (por exemplo, título, data, autor ou um número de referência);

• formato (por exemplo, linguagem, versão do software, gráficos) e o seu meio (por exemplo,

papel, eletrônico);

• análise crítica e aprovação para pertinência e adequação.

7.5.3 CONTROLE DA INFORMAÇÃO DOCUMENTADA

A informação documentada requerida pelo SGSI e por esta Norma deve ser controlada para

assegurar que:

• esteja disponível e adequada para o uso, onde e quando necessário;

• esteja protegida adequadamente (por exemplo, contra perda de confidencialidade, uso

indevido ou perda de integridade).

Para o controle da informação documentada, a organização deve considerar as seguintes

atividades, conforme aplicadas:

• distribuição, acesso, recuperação e uso;

• armazenagem e preservação, incluindo a preservação da legibilidade;

• controle de mudanças (por exemplo, controle de versão);

• retenção e disposição.

A informação documentada de origem externa, determinada pela organização como necessária

para o planejamento e operação do SGSI, deve ser identificada como apropriado, e controlada.

NOTA: O acesso implica em uma decisão quanto à permissão para apenas ler a informação

documentada ou a permissão e autoridade para ver e alterar a informação documentada.


Aula 00



AL-CE

8. Operação

8.1 PLANEJAMENTO OPERACIONAL E CONTROLE

A organização deve planejar, implementar e controlar os processos necessários para atender aos

requisitos de segurança da informação e para implementar as ações determinadas em 6.1.

A organização deve também implementar planos para alcançar os objetivos de segurança da

informação determinados em 6.2.

A organização deve manter a informação documentada na abrangência necessária para gerar

confiança de que os processos estão sendo realizados conforme planejado.

A organização deve controlar as mudanças planejadas e analisar criticamente as consequências

de mudanças não previstas, tomando ações para mitigar quaisquer efeitos adversos, conforme

necessário.

A organização deve assegurar que os processos terceirizados estão determinados e são

controlados.

8.2 AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO

A organização deve realizar avaliações de riscos de segurança da informação a intervalos

planejados, ou quando mudanças significativas são propostas ou ocorrem, levando em conta os

critérios estabelecidos em 6.1.2.

A organização deve reter informação documentada dos resultados das avaliações de risco de


Observe que, diferentemente do disposto em 6.1.2, onde a organização deveria “definir e aplicar um

processo de avaliação de riscos de segurança da informação”, aqui a atribuição é de realização da avaliação

de risco, o que corrobora a visão de planejamento da seção 6 em contraste com a execução, que é o objetivo

da seção 8.

8.3 TRATAMENTO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO

A organização deve implementar o plano de tratamento de riscos de segurança da informação.

A organização deve reter informação documentada dos resultados do tratamento dos riscos.

Em relação ao disposto em 6.1.3, o disposto aqui corresponde à finalização do processo de

tratamento de risco, que compreenderia a implementação do plano elaborado na fase de planejamento.


Aula 00



AL-CE

9. Avaliação do desempenho

9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO

A organização deve avaliar o desempenho da segurança da informação e a eficácia do SGSI.

A organização deve determinar:

• o que precisa ser monitorado e medido, incluindo controles e processos de segurança da

informação;

• os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para

assegurar resultados válidos;

• quando o monitoramento e a medição devem ser realizados;

• o que deve ser monitorado e medido;

• quando os resultados do monitoramento e da medição devem ser analisados e avaliados;

• quem deve analisar e avaliar estes resultados.

A organização deve reter informação documentada apropriada como evidência do

monitoramento e dos resultados da medição.

9.2 AUDITORIA INTERNA

A organização deve conduzir auditorias internas a intervalos planejados para prover

informações sobre o quanto o SGSI está em conformidade com os próprios requisitos da organização e

com os requisitos desta Norma e está efetivamente implementado e mantido.

Duas observações importantes:

1) a responsabilidade pela condução das auditorias internas é da organização e não da alta direção

ou qualquer outra entidade;

2) a norma não determina uma periodicidade específica para essas auditorias.

9.3 ANÁLISE CRÍTICA PELA DIREÇÃO

A Alta Direção deve analisar criticamente o SGSI da organização a intervalos planejados, para

assegurar a sua contínua adequação, pertinência e eficácia.

Os resultados da análise crítica pela Direção devem incluir decisões relativas a oportunidades para

melhoria contínua e quaisquer necessidades para mudanças do SGSI.

A organização deve reter informação documentada como evidência dos resultados das análises

críticas pela Direção.

A “análise crítica” nessa e em outras normas é um processo que tem como entrada uma série de

informações, inclusive análises crítica anteriores, e produz como saída tipicamente decisões voltadas para

melhoria.

Repare que nesta norma os requisitos relacionados com a alta direção não ficam restritos à seção 5.


Aula 00



AL-CE

10. Melhoria

10.1 NÃO CONFORMIDADE E AÇÃO CORRETIVA

Quando uma não conformidade ocorre, a organização deve:

• reagir a não conformidade e, conforme apropriado:

• tomar ações para controlar e corrigi-la; e

• tratar com as consequências;

• avaliar a necessidade de ações para eliminar as causas de não conformidade, para evitar sua

repetição ou ocorrência, por um dos seguintes meios:

• analisando criticamente a não conformidade;

• determinando as causas da não conformidade; e

• determinando se não conformidades similares existem, ou podem potencialmente ocorrer.

• implementar quaisquer ações necessárias;

• analisar criticamente a eficácia de quaisquer ações corretivas tomadas; e

• realizar mudanças no sistema de gestão da segurança da informação, quando necessário.

As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.

A organização deve reter informação documentada como evidência da:

• natureza das não conformidades e quaisquer ações subsequentes tomadas; e

• resultados de qualquer ação corretiva.

A versão anterior dessa norma contemplava, além das ações corretivas, outras de natureza

preventiva, que deviam ser adotadas como solução para não conformidades potenciais. Na versão atual não

há citação desse tipo de não conformidade, nem tampouco de ações preventivas.

10.2 MELHORIA CONTÍNUA

A organização deve continuamente melhorar a pertinência, adequação e eficácia do SGSI.


Aula 00



AL-CE

Questões comentadas pelo professor

1. (CESPE – TCU – Auditor Federal de Controle Externo – Auditoria de Tecnologia da Informação – 2015)

Na especificação e na implementação do SGSI, devem se considerar as necessidades, os objetivos e os

requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua

estrutura.

Comentários:

Segundo a subseção 0.1 da norma, “o estabelecimento e a implementação do SGSI de uma

organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos

organizacionais usados, tamanho e estrutura da organização.”

Resposta: item ERRADO.

2. (CESPE – TCE-PA – Auditor de Controle Externo – Analista de Segurança – 2016)

Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas

formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.

Comentários:

De acordo com a seção 1 da norma 27001, que define o seu escopo, “a exclusão de quaisquer dos

requisitos especificados nas Seções 4 a 10 não é aceitável quando a organização busca a conformidade

com esta Norma”.


3. (CESPE – PJM-CGM – Auditor Municipal de Controle Interno – Desenvolvimento de Sistemas – 2018)

As organizações devem estabelecer os objetivos de segurança da informação de forma independente de sua

política de segurança da informação.

Comentários:

De acordo com a subseção 5.2 da norma 27001, a política de segurança da informação deve incluir

os objetivos de segurança da informação ou fornecer estrutura para estabelecê-los. Ainda de acordo com

a subseção 6.2 da referida norma, os objetivos de segurança da informação devem ser consistentes com

a política de segurança da informação.


4. (CESPE – PJM-CGM – Auditor Municipal de Controle Interno – Desenvolvimento de Sistemas – 2018)

A referida norma prevê que as organizações estabeleçam e mantenham critérios de riscos de segurança da

informação que incluam os critérios de aceitação do risco.

Comentários:

O texto da questão está em concordância com o disposto na subseção 6.1.2, que afirma: “A

organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que


Aula 00



AL-CE

estabeleça e mantenha critérios de riscos de segurança da informação que incluam os critérios de

aceitação do risco”.

Resposta: item CERTO.

5. (CESPE – MEC-OS – Administrador de Rede – 2015)

De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema

de gerenciamento de segurança da informação.

Comentários:

Nessa norma não há referência a outra modalidade de auditoria que não seja a interna, que é um

dos processos mais relevantes que integra o ciclo do SGSI e que é detalhada na subseção 9.2.



Aula 00



AL-CE

Lista de Questões

1. (CESPE – BB CERTIFICAÇÃO – 19.º CERTAME – Gestão de Segurança – 2016)

A norma ABNT NBR ISO/IEC 27001: 2013 especifica os requisitos para estabelecer, implementar, manter e

melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização.

De acordo com essa norma, a alta direção é responsável por ações específicas no que concerne à liderança e

comprometimento, à política da informação de segurança, às autoridades, responsabilidades e papéis

organizacionais.

ABNT NBR ISO/IEC 27001 :2013 (com adaptações).

Uma ação específica da alta direção da organização, no que concerne à política de segurança da informação, é a

de

(A) incluir o seu comprometimento com a melhoria contínua do sistema de gestão da segurança da informação.

(B) apoiar outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às áreas sob sua

responsabilidade.

(C) assegurar que a política de segurança da informação está estabelecida e é compatível com a direção

estratégica da organização.

(D) comunicar a importância de uma gestão eficaz da segurança da informação e da conformidade com os

requisitos do sistema de gestão da segurança da informação.

(E) atribuir responsabilidade e autoridade para assegurar que o sistema de gestão da segurança da informação

está em conformidade com os requisitos da norma ABNT NBR ISO/IEC 27001.

2. (CESPE – TRT-7 – Analista Judiciário – Tecnologia da Informação – 2017)

De acordo com a ABNT NBR ISO/IEC 27001, a alta direção da organização tem papel fundamental no sistema de

gestão de segurança da informação (SGSI). Nesse contexto, ela deve estabelecer uma política de segurança da

informação que

(A) inclua o comprometimento com a melhoria contínua do SGSI.

(B) reduza efeitos indesejados.

(C) informe responsáveis por cada ativo de informação.

(D) crie mecanismos de avaliação de riscos compatíveis com o framework Cobit 5.

3. (CESPE – TRT-8 – Analista Judiciário – Tecnologia da Informação – 2015)

De acordo com a norma NBR ISO/IEC 27001, a organização deve definir uma política do SGSI que

(A) esteja alinhada com o contexto estratégico de gestão de riscos da organização.

(B) seja escrita essencialmente com base em um modelo de SGSI padronizado para organizações de porte

similar.

(C) inclua, em seu texto, um estudo detalhado dos riscos previamente avaliados.

(D) seja elaborada pela direção e formalmente aprovada pela maioria dos empregados da organização.

(E) seja totalmente independente de requisitos legais e desvinculada de obrigações contratuais.


Aula 00



AL-CE

4. (CESPE – CGE-CE – Analista de Tecnologia da Informação –Desenvolvimento de Sistemas – 2019)

De acordo com NBR ISO/IEC 27001, em um sistema de gestão de segurança da informação (SGSI), o escopo é

definido na fase

(A) melhorar.

(B) analisar.

(C) estabelecer.

(D) implementar.

(E) manter.

5. (CESPE – TCE-RO – Analista de Tecnologia da Informação – Desenvolvimento de Sistemas – 2019)

De acordo com a NBR ISO/IEC n.º 27001:2013, a alta direção de uma organização deve demonstrar liderança e

comprometimento em relação ao sistema de gestão da segurança da informação. Para isso, ela deve

I assegurar que a política de segurança da informação seja compatível com a direção estratégica da organização.

II comunicar a importância da conformidade com os requisitos do sistema de gestão da segurança da

informação.

III analisar criticamente os códigos quanto ao uso de técnicas de programação segura.

IV orientar pessoas que contribuam para a eficácia do sistema de gestão da segurança da informação.

Estão certos apenas os itens

A I e II.

B I e III.

C III e IV.

D I, II e IV.

E II, III e IV.

Com base no disposto na NBR ISO/IEC 27001:2013, julgue o item a seguir, relativo à gestão de segurança da

informação.


Devido a seu conteúdo confidencial e estratégico, a política de segurança da informação de uma organização

deve estar disponível, como informação documentada, exclusivamente para a alta gerência.

7. (CESPE – PMJP-CMJP – Auditor Municipal de Controle Interno – Tecnologia da Informação –

Desenvolvimento de Sistemas – 2018)

A organização deve determinar e prover recursos necessários a estabelecimento, implementação, manutenção e

melhoria contínua do sistema de gestão de segurança da informação (SGSI).


Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas formais,

requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.


Aula 00



AL-CE

9. (CESPE – TJDFT – Analista Judiciário – Análise de Sistemas – 2015)

Embora destituída da norma ISO/IEC 27001, a condução de auditorias internas deve ser realizada no sistema de

gestão da segurança da informação (SGSI) a fim de conferência quanto à qualidade da execução das atividades

de controle.

10. (CESPE – STJ – Analista Judiciário – Suporte em Tecnologia da Informação – 2015)

De acordo com a norma ISO 27001, o sistema de gerenciamento da segurança da informação deve ser revisado

regularmente, considerando-se as sugestões e os feedbacks das partes interessadas.


Aula 00



AL-CE

Gabarito 1. C

2. A

3. A

4. C

5. D

6. E

7. C

8. E

9. E

10. C

Documents

Aula 00 Gestão de Segurança da Informação I · 2020. 8. 26. · • ISO/IEC 27000 – Princípios e Vocabulário. Define a nomenclatura utilizada nas normas seguintes da família