Exercícios de Gestão da Segurança da Informação – ISO 27001, 27002 e 27005

Módulo 01 : Exercícios CESPE (questões 01 a 50)Aula 01- apresentação do módulo

Professor Fernando Palma ITIL Expert, ISO 27002 Advanced Management (ISMAS), COBIT, OCEB

Contatos: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br

Exercícios comentados - GSI

Seja bem vindo!

Sobre este material

Material das aulas de amostra do Módulo 01 – Exercícios CESPE

Aula 01

Curso disponível em: http://www.provasdeti.com.br/por-professor/a-m/fernando-palma/gsicespex1-para-concursos.html

Fernando Palma Consultor e professor em Governança de TI, Gestão de Serviços de TI e Gestão da Segurança da Informação. Mestrando em Administração de Empresas, graduado em Sistemas de Informação.Certificado ITIL Expert, ITIL Manager, ISO 27002 Advanced Management (ISMAS), OMG Expert em BPMN, ISO 20.000 Foundation, COBIT Foundation e ISO 27002 Foundation.

Treinou mais de 01 mil profissionais em ITIL e COBIT nos últimos 05 anos e trabalha também no segmento de ensino para concursos. É Professor de MBA na UNIJORGE e Ruy Barbosa em disciplinas de Gestão de Serviços de, Governança de TI e Gestão da Segurança da Informação. Atuou como coordenador de TI no Hospital da Bahia, consultor, coordenador de equipe de sistemas e gerente de servicedesk pela Avansys Tecnologia. Fundador e administrador do Portal GSTI: www.portalgsti.com.brContato: fpalma@portalgsti.com.br, fernando.palma@gmail.com

Sobre o professor

O que veremos?

Módulo 01 (este módulo): 50 questões CESPETotal de 09 aulas

Módulo 02: + 50 questões CESPE*

Em breve: módulos de exercícios para FCC, ESAF e outras bancas!

* Não faz parte deste módulo

Estatísticas das questões – geral

Tema Conteúdo Quantidade PercentualISO 27001 Seção 00 a 03 4 8%

Seção 04 - SGSI 9 18%Seção 05 a 08 2 4%

ISO 27002 Seção 00 a 04 1 2%Diretrizes 14 28%

Controles – Anexo A ISO 27001 ou norma ISO 27002

14 28%

ISO 27005 3 6%Outros 3 6%

TOTAL 50 100%

Estatísticas das questões – geral

Controles x diretrizes (total de 28 questões)

14 questões – 50%14 questões -

50%

Juntos, representam + de 56% das 50 questões

Estatísticas das questões – controles e diretrizesSeção Quantidade Percentual

Seção 5 – Política de Segurança da Informação 5 18%

Seção 6 – Organizando a Segurança da Informação 2 7%

Seção 7 – Gestão de Ativos 2 7%

Seção 8 – Segurança em Recursos Humanos 1 3,5%

Seção 9 – Segurança Física e do Ambiente 2 7%

Seção 10 – Gestão das Operações e Comunicações 5 18%

Seção 11 – Controle de Acesso 2 7%

Seção 12 – Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação

1 3,5%

Seção 13 – Gestão de Incidentes de Segurança 2 7%

Seção 14 – Gestão da Continuidade do Negócio 4 14%

Seção 15 – Conformidade 2 7%

TOTAL 28 100%

Dicas para melhor aproveitamento

Você irá se ajudar muito se...

Realizar o curso do professor Thiago Fagury, no site provas de TI: 04 módulos

Fizer a leitura das normas antes de resolver as questões Usar os resumos e mapas mentais extras disponibilizados para

quem adquiriu este curso de resolução de exercícios Apertar pause sempre que a leitura da questão foi concluída

Norma EscopoVisão Geral e Vocabulário

Requisitos de Sistemas de Gestão de Segurança da Informação

Código de prática para Gestão da Segurança da Informação

Diretrizes para Implementação de Sistemas de Gestão de Segurança da Informação

Métricas de Sistemas de Gestão de Segurança da Informação

Diretrizes para o processo de Gestão de Riscos de Segurança da Informação

ISO 27000 ISO 27001

ISO 27002

ISO 27003

ISO 27005

ISO 27004

Mais : http://en.wikipedia.org/wiki/ISO/IEC_27000-series

ISO 27001

Norma ISO 27001

0. Introdução 1. Objetivo

2. Referência normativa

3. Termos e definições

4. Sistema de gestão de segurança da informação

5. Responsabilidades da direção

6. Auditorias internas do SGSI

7. Análise crítica do SGSI pela direção

8. Melhoria do SGSI

Anexo A Objetivos

de controle e controles

Anexo B

Anexo CFernando Palma

ANEXO A ISO 27001

A 5.Política de segurança da informação

A6.Organizando a segurança da informação

A7.Gestão de Ativos

A8.Segurança em recursos humanos A9.Segurança Física e do Ambiente

A.10.Gerenciamento de operações e comunicações

A.11.Controle de Acesso

A.12.Aquisição, desenvolvimento e manutenção de sistemas da informação

A.13.Gestão de Incidentes de Segurança da informação A.14. Gestão de Continuidade dos Negócios

A.15.Conformidade

0. Introdução

0.1 Geral

0.2 Abordagem de processo

0.3 Compatibilidade com outros sistemas de gestão

1. Objetivo

1.1 Geral

1.2 Aplicação

2. Referência normativa

3. Termos e definições

4. Sistema de gestão de segurança da informação

4.1 Requisitos gerais 4.2 Estabelecendo e gerenciando o SGSI

4.2.1 Estabelecer o SGSI 4.2.2 Implementar e operar o SGSI 4.2.3 Monitorar e analisar criticamente o SGSI 4.2.4 Manter e melhorar o SGSI

4.3 Requisitos de documentação 4.3.1 Geral 4.3.2 Controle de documentos 4.3.3 Controle de registros

5. Responsabilidades da direção

5.1 Comprometimento da direção

5.2 Gestão de recursos

5.2.1 Provisão de recursos

5.2.2 Treinamento, conscientização e competência

6. Auditorias internas do SGSI

7. Análise crítica do SGSI pela direção

7.1. Geral

7.2. Entradas para a análise crítica

7.3. Saídas da análise crítica

8. Melhoria do SGSI

8.1. Melhoria contínua 8.2 Ação corretiva 8.3 Ação preventiva

Partes Interessadas

Expectativas e requisitos

de Segurança

da Informação

Partes Interessadas

Segurança da

Informação Gerenciada

4.2.1 Estabelecimento

SGSI

4.2.3. Monitoramento e análise crítica do

SGSI

4.2.4. Manutenção e

Melhoria do SGSI

4.2.2. Implementação e Operação do SGSI

Plan

Do

Check

Act

Fernando Palma

4.2 Estabelecendo e gerenciando o SGSI Figura 1 — Modelo PDCA aplicado aos processos do SGSI

Anexo A ISO 27001

A.5.Política de segurança da informação

A.6.Organizando a segurança da informação

A.7.Gestão de Ativos

A.8.Segurança em recursos humanos

A.9.Segurança Física e do Ambiente

A.10.Gerenciamento de operações e comunicações

11.Controle de Acesso

12.Aquisição, desenvolvimento e manutenção de sistemas da informação

13.Gestão de Incidentes de Segurança da informação

14. Gestão de Continuidade dos Negócios

15.Conformidade

ISO 27002

Norma ISO 27002

5.Política de segurança da informação6.Organizando a segurança da informação

7.Gestão de Ativos

8.Segurança em recursos humanos9.Segurança Física e do Ambiente

10.Gerenciamento de operações e comunicações

11.Controle de Acesso

12.Aquisição, desenvolvimento e manutenção de sistemas da informação

13.Gestão de Incidentes de Segurança da informação

14. Gestão de Continuidade dos Negócios

15.Conformidade

0. Introdução

0.1. O que é segurança da informação

0.2. Por que a segurança da informação é necessária?

0.3. Como estabelecer requisitos de segurança da informação?

0.4. Analisando/avaliando os riscos de Segurança da Informação

0.5. Seleção de controles

0.6. Ponto de partida para a segurança da informação

0.7. Fatores Críticos de Sucesso0.8. Desenvolvendo suas próprias diretrizes

1. Objetivo

3.1. Seções

3.2. Principais categorias de segurança da informação

3. Estrutura desta norma

2. Termos e definições

4. Análise/avaliação de tratamento de riscos

4.1. Analisando/avaliando riscos de segurança da informação

4.2. Tratando Riscos de Segurança da Informação

5. Política de segurança da informação

6. Organizando a Segurança da Informação

5.1. Política de segurança da Informação (5.1. 1. Documento 5.1.2. Análise crítica)

6.1. Organização interna

6.2. Partes Externas

7. Gestão de ativos

7.1. Responsabilidades pelos ativos

7.2. Classificação das informações

8.Segurança em recursos humanos

9.Segurança Física e do Ambiente

8.1. Antes da contratação

8.2. Durante a contratação

8.3. Encerramento ou mudança da contratação

9.1. Área segura

9.2. Segurança de equipamentos

10.Gerenciamento de operações e comunicações

10.1. Procedimentos e responsabilidades operacionais

10.2. Gerenciamento de serviços terceirizados

10.3. Planejamento e aceitação dos sistemas

10.4. Proteção contra códigos maliciosos e códigos móveis

10.5. Cópias de segurança

10.6. Gerenciamento da segurança em redes

10.7. Manuseio de mídias

10.8. Troca de informações

10.9. Serviços de comércio eletrônico

10.10. Monitoramento

11. Controle de acesso

11.1. Requisitos de negócio para controle de acesso

11.2. Gerenciamento de acesso do usuário

11.3. Responsabilidades dos usuários

11.4. Controle de acesso à rede

11.5. Controle de acesso ao sistema operacional

11.6. Controle de acesso à aplicações e a informação

11.7. Computação móvel e trabalho remoto

12. Aquisição, desenvolvimento e manutenção de sistemas da informação

12.1. Requisição de segurança de sistemas de informação

12.2. Processamento correto nas aplicações

12.3. Controles criptográficos

12.4. Segurança dos arquivos do sistema

12.5. Segurança em processos de desenvolvimento e de suporte

12.6. Gestão de vulnerabilidade técnicas

13. Gestão de Incidentes de Segurança da informação

13.1. Notificação de fragilidades e eventos de segurança da informação

13.2. Gestão de incidentes de segurança da informação e melhorias

14. Gestão de continuidade do negócio

14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação

15. Conformidade

15.1. Conformidade com requisitos legais

15.2. Conformidade com normas e políticas de segurança da informação e conformidade técnica

15.3. Considerações quanto à auditoria de sistemas de informação

ISO 27005

(ISO 27005 - P. 8) Tabela 1 – Alinhamento do processo do SGSI e do processo de gestão de riscos de segurança da informação

Processo SGSI Processo de gestão de riscos de segurança da informação

Planejar - estabelecendo o SGSI

Definição do contexto Análise/avaliação de riscosPlano de tratamento do riscoAceitação do risco

Executar - Implementação e Operação do SGSI

Implementação do plano de tratamento do risco

Verificar - Monitoramento e análise crítica do SGSI

Monitoramento contínuo e análise crítica de riscos

Agir - Manutenção e Melhoria do SGSI

Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação

Fim da aula 01

Professor Fernando PalmaITIL Expert, COBIT, OCEB, Exin ISO 27002

Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br

Exercícios comentados - GSI

Módulo 01 : Exercícios CESPE (questões 01 a 50)