EXIN Fundamentos de Segurana da

Informao
baseado na norma
ISO/IEC 27002

Guia de Preparao

Edio Junho 2016

Copyright 2016 EXIN

All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing
system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.

2 2
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

Contedo

1 Viso Geral 4
2 Requisitos do exame 7
3 Lista de conceitos bsicos 12
4 Literatura 15

3 3
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

1 Viso Geral

EXIN Fundamentos de Segurana da Informao baseado na norma ISO/IEC

27002 (ISFS.PR)

Resumo
A segurana da informao a proteo das informaes de uma grande
variedade de ameaas com o objetivo de assegurar a continuidade do negcio,
minimizar o risco do negcio e maximizar o retorno sobre os investimentos e as
oportunidades de negcios. (Definio da norma ISO/IEC 27002)

A segurana das informaes vem ganhando importncia no mundo da Tecnologia

da Informao (TI). A globalizao da economia est gerando uma troca cada vez
maior de informaes entre as organizaes (seus funcionrios, clientes e
fornecedores) bem como uma exploso no uso de computadores em rede e
dispositivos de informtica.

A norma internacional, o Cdigo de Prtica para Segurana da Informao

ISO/IEC 27002:2013, uma norma amplamente respeitada e consultada e fornece
uma estrutura para a organizao e o gerenciamento de um programa de
segurana das informaes. A implementao de um programa com base nesta
norma ser muito til para o objetivo de uma organizao de atender a muitas das
necessidades apresentadas no complexo ambiente operacional da atualidade.
Uma compreenso categrica desta norma importante para o desenvolvimento
pessoal de todos os profissionais de segurana das informaes.

Nos mdulos de Segurana da Informao do EXIN, utiliza-se a seguinte definio:

A Segurana da Informao lida com a definio, a implementao, a manuteno,
a conformidade e a avaliao de um conjunto coerente de controles (medidas) que
garantam a disponibilidade, a integridade e a confidencialidade da fonte de
informaes (manual e automtica).

No mdulo Fundamentos de Segurana da Informao do EXIN baseado na norma

ISO/IEC 27002 so testados os conceitos bsicos de segurana da informao e
suas relaes. Um dos objetivos desse mdulo aumentar a conscientizao de
que as informaes so valiosas e vulnerveis e aprender quais medidas so
necessrias para proteg-las.

Os tpicos para este mdulo so:

Informao e segurana: os conceitos, o valor da informao e da importncia
da confiabilidade.
Ameaas e riscos: a relao entre as ameaas e confiabilidade.
Abordagem e organizao: a poltica de segurana e estabelecimento da
Segurana da Informao.
Medidas: fsica, tcnica e organizacional.
e
Legislao e regulamentao: a importncia e funcionamento.

4 4
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

Contexto
Programa de qualificao

O certificado em Fundamentos de Segurana da Informao do EXIN baseado na

norma ISO/IEC 27002 faz parte do programa de qualificao em Segurana da
Informao. O mdulo seguido pelos certificados de Gerenciamento de
Segurana da Informao Avanado do EXIN baseado na norma ISO/IEC 27002 e
Gerenciamento de Segurana da Informao Especializado do EXIN baseado na
norma ISO/IEC 27002.

5 5
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

Pblico-alvo
Qualquer pessoa na organizao que manuseia informaes. tambm aplicvel a
proprietrios de pequenas empresas a quem alguns conceitos bsicos de Segurana
da Informao so necessrios. Este mdulo pode ser um excelente ponto de partida
para novos profissionais de segurana da informao.

Pr-requisitos
Nenhum

Formato do exame
Exame com questes de mltipla escolha

Estimativa de Tempo de Estudo

60 horas

Exerccio prtico
No aplicvel

Tempo destinado ao exame

60minutos

Detalhes do exame
Nmero de questes: 40
Mnimo para aprovao: 65 % (26 de 40)
Com consulta: no
Equipamentos eletrnicos permitidos: no

Exemplos de questes
Voc pode fazer o download do simulado e se preparar melhor para o exame
acessando http://www.exin.com

Curso
Quantidade de alunos em classe
O nmero mximo de alunos em sala 25.
(Isso no aplicvel nos casos de ensino distncia / CBT - computer based
training/e-learning)

Horas de contato
O nmero mnimo de horas de contato durante o curso de 7 horas. Isso inclui as
atividades em grupo, preparao para o exame, e coffee breaks, mas no inclui
tarefas de casa, preparao da logstica de exame e horrio de almoo.

Provedores de Treinamento
A lista das empresas credenciadas para ministrar este e outros treinamentos do
Exin encontra-se no nosso site: http://www.exin.com.

6 6
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

2 Requisitos do exame

Os requisitos do exame so os principais temas de um mdulo. O candidato deve

ter o domnio completo sobre estes temas. Os requisitos do exame so elaborados
na especificao do exame.

Requisitos de exame Especificao de exame Peso

(% )
1 Informao e segurana 10
1.1 O conceito de informao 2.5
1.2 Valor da informao 2.5
1.3 Aspectos de confiabilidade 5

2 Ameaas e riscos 30
2.1 Ameaas e riscos 15
2.2 Relacionamento entre ameaas, 15
riscos e confiabilidade da informao

3 Abordagem e organizao 10
3.1 Poltica de segurana e 2.5
organizao de segurana
3.2 Componentes da organizao da 2.5
segurana
3.3 Gerenciamento de incidentes 5

4 Medidas 40
4.1 Importncia de medidas de 10
segurana
4.2 Medidas fsicas 10
4.3 Medidas tcnicas 10
4.4 Medidas organizacionais 10

5 Legislao e regulamentao 10
5.1 Legislao e regulamentao 10

Total 100

7 7
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

Requisitos e especificaes do exame

1. Informao e Segurana (10%)

1.1 O conceito de informao (2,5%)

O candidato entende o conceito de informao.
O candidato capaz de:
1.1.1 Explicar a diferena entre os dados e informaes
1.1.2 Descrever o meio de armazenamento que faz parte da infraestrutura
bsica

1.2 Valor da informao (2,5%)

O candidato entende o valor da informao para as organizaes.
O candidato capaz de:
1.2.1 Descrever o valor de dados / informao para as organizaes
1.2.2 Descrever como o valor de dados / informao pode influenciar as
organizaes
1.2.3 Explicar como conceitos aplicados de segurana da informao protegem
o valor de dados / informao

1.3 Aspectos de confiabilidade (5%)

O candidato conhece os aspectos de confiabilidade (confidencialidade,
integridade, disponibilidade) da informao.
O candidato capaz de:
1.3.1 Nome dos aspectos de confiabilidade da informao
1.3.2 Descrever os aspectos de confiabilidade da informao

2. Ameaas e riscos (30%)

2.1 Ameaa e risco (15%)

O candidato compreende os conceitos de ameaa e risco.
O candidato capaz de:
2.1.1 Explicar os conceitos ameaa, de risco e anlise de risco
2.1.2 Explicar a relao entre uma ameaa e um risco
2.1.3 Descreva os vrios tipos de ameaas
2.1.4 Descreva os vrios tipos de danos
2.1.5 Descrever diferentes estratgias de risco

8 8
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

2.2 Relacionamento entre ameaas, riscos e confiabilidade das informaes.
(15%)
O candidato compreende a relao entre as ameaas, riscos e confiabilidade
das informaes.
O candidato capaz de:
2.2.1 Reconhecer exemplos dos diversos tipos de ameaas
2.2.2 Descrever os efeitos que os vrios tipos de ameaas tm sobre a
informao e ao tratamento das informaes

3. Abordagem e Organizao (10%)

3.1 Poltica de Segurana e organizao de segurana (2,5%)

O candidato tem conhecimento da poltica de segurana e conceitos de
organizao de segurana.
O candidato capaz de:
3.1.1 descrever os objetivos e o contedo de uma poltica de segurana
3.1.2 descrever os objetivos e o contedo de uma organizao de segurana

3.2 Componentes da organizao da segurana (2,5%)

O candidato conhece as vrias componentes da organizao da segurana.
O candidato capaz de:
3.2.1 Explicar a importncia de um cdigo de conduta
3.2.2 Explicar a importncia da propriedade
3.2.3 Nomear os mais importantes papis na organizao da segurana da
informao

3.3 Gerenciamento de Incidentes (5%)

O candidato compreende a importncia da gesto de incidentes e escaladas.
O candidato capaz de:
3.3.1 Resumir como incidentes de segurana so comunicados e as
informaes que so necessrias
3.3.2 Dar exemplos de incidentes de segurana
3.3.3 Explicar as consequncias da no notificao de incidentes de segurana
3.3.4 Explicar o que implica uma escalao (funcional e hierrquico)
3.3.5 Descrever os efeitos de uma escalao dentro da organizao
3.3.6 Explicar o ciclo do incidente

9 9
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

4. Medidas (40%)

4.1 Importncia das medidas de segurana (10%)

O candidato entende a importncia de medidas de segurana.
O candidato capaz de:
4.1.1 Descrever as maneiras pelas quais as medidas de segurana podem ser
estruturadas ou organizadas
4.1.2 Dar exemplos de cada tipo de medida de segurana
4.1.3 Explicar a relao entre os riscos e medidas de segurana
4.1.4 Explicar o objetivo da classificao das informaes
4.1.5 Descrever o efeito da classificao

4.2 Medidas de segurana fsica (10%)

O candidato tem conhecimento tanto da criao e execuo de medidas de
segurana fsica.
O candidato capaz de:
4.2.1 Dar exemplos de medidas de segurana fsica
4.2.2 Descrever os riscos relacionados a medidas inadequadas de segurana
fsica

4.3 Medidas de ordem tcnica (10%)

O candidato tem conhecimento tanto da criao quanto da execuo de
medidas de segurana tcnica.
O candidato capaz de:
4.3.1 Dar exemplos de medidas de segurana tcnica
4.3.2 Descrever os riscos relacionados a medidas inadequadas de segurana
tcnica
4.3.3 Compreender os conceitos de criptografia, assinatura digital e certificado
4.3.4 Nome das trs etapas para internet banking (PC, web site, pagamento)
4.3.5 Nomear vrios tipos de software malicioso
4.3.6 Descrever as medidas que podem ser usadas contra software malicioso

4.4 Medidas organizacionais (10%)

O candidato tem conhecimento tanto da criao quanto da execuo de
medidas de segurana organizacional.
O candidato capaz de:
4.4.1 Dar exemplos de medidas de segurana organizacional
4.4.2 Descrever os perigos e riscos relacionados a medidas inadequadas de
segurana organizacional
4.4.3 Descrever as medidas de segurana de acesso, tais como a segregao
de funes e do uso de senhas
4.4.4 Descrever os princpios de gesto de acesso
4.4.5 Descrever os conceitos de identificao, autenticao e autorizao
4.4.6 Explicar a importncia para uma organizao de um bem montado
Gerenciamento da Continuidade de Negcios
4.4.7 Tornar clara a importncia da realizao de exerccios

10 10
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

5. Legislao e regulamentao (10%)

5.1 Legislao e regulamentos (10%)

O candidato entende a importncia e os efeitos da legislao e
regulamentaes.
O candidato capaz de:
5.1.1 Explicar porque a legislao e as regulamentaes so importantes para
a confiabilidade da informao
5.1.2 Dar exemplos de legislao relacionada segurana da informao
5.1.3 Dar exemplos de regulamentaes relacionadas segurana da
informao
5.1.4 Indicar as medidas possveis que podem ser tomadas para cumprir as
exigncias da legislao e regulamentao

Justificativa de escolhas
Conceitos gerais de TI tais como Big Data, Cloud e Teleworking (trabalho remoto/
distncia) tambm devem ser parte dos conhecimentos gerais dos candidatos.
Requisitos para o exame: justificativa da distribuio de peso.
As medidas de segurana so, para a maioria do pessoal, os primeiros aspectos de
Segurana da Informao que essas pessoas encontram. Consequentemente, as
medidas so fundamentais para o mdulo e tm o maior peso. A seguir, ameaas e
riscos em termos de peso. Finalmente, a percepo da poltica, organizao e
legislao e regulamentao na rea de Segurana da Informao so necessrias
para compreender a importncia das medidas de Segurana da Informao.

11 11
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

3 Lista de conceitos bsicos

Este captulo contm os termos com os quais os candidatos devem mostrar

familiaridade. Os termos esto listados em ordem alfabtica.

Acordo de confidencialidade Non-disclosure agreement

Ameaa Threat
Anlise da Informao Information analysis
Anlise de Risco Risk Analysis
Anlise de risco qualitativa Qualitative risk analysis
Anlise quantitativa de risco Quantitative risk analysis
Arquitetura da Informao Information Architecture
Assinatura Digital Digital Signature
Ativo Asset
Ativos de Negcios Business Assets
Auditoria Audit
Autenticao Authentication
Autenticidade Authenticity
Autorizao Authorization
Avaliao de Riscos (anlise de Risk Assessment (Dependency
dependncia e vulnerabilidade) & Vulnerability analysis)
Backup (Cpia de segurana) Backup
Big Data (Grandes dados) Big Data
Biometria Biometrics
Botnet Botnet
BYOD BYOD (Bring your own device)
Categoria Category
Certificado Certificate
Chave Key
Ciclo de Incidentes Incident Cycle
Classificao Classification
Cdigo de boas prticas de Code of practice for information
segurana da informao security (ISO/IEC 27002:2013)
(ISO/IEC 27002:2013)
Cdigo de conduta Code of conduct
Completeza Completeness
Confiabilidade das informaes Reliability of information
Confidencialidade Confidentiality
Conformidade Compliance
Continuidade Continuity
Medidas Controls
Controle de Acesso Access Control
Corretiva Corrective
Criptografia Encryption
Dados Data
Danos Damage
Danos diretos Direct damage
Danos indiretos Indirect damage

12 12
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

 Desastre Disaster
Detectivo Detective
Disponibilidade Availability
Engenharia Social Social Engineering
Escalao Escalation
Escalao funcional Functional escalation
Escalao hierrquica Hierarchical escalation
Estratgia de Risco Risk Strategy
Reter riscos Risk bearing
Evitar riscos Risk avoiding
Reduo de riscos Risk reduction
Evento de segurana Security event
Exatido Correctness
Exclusividade Exclusivity
Fator de produo Production factor
Firewall pessoal Personal Firewall
Fornecedor Ininterrupto de Uninterruptible power
Energia (UPS-Uninterruptible supply(UPS)
Power Supply)
Gerenciamento da Continuidade Business Continuity
de Negcios (GCN) Management (BCM)
Gerenciamento da Informao Information management
Gerenciamento da Mudana Change Management
Gerenciamento de acesso lgico Logical Access Management
Gerenciamento de ativos de Managing business assets
negcios
Gerenciamento de riscos Risk Management
Hacking Hacking
Hoax Hoax
Identificao Identification
Impacto Impact
Incidente de Segurana Security incident
Informao Information
Informaes secretas de Secret authentication
autenticao information
Infraestrutura Infrastructure
Infraestrutura de chave pblica Public Key Infrastructure (PKI)
(ICP)
Integridade Integrity
Interferncia Interference
ISO/IEC 27001:2013 ISO/IEC 27001:2013
ISO/IEC 27002:2013 ISO/IEC 27002:2013
Legislao de direitos autorais Copyright legislation
Legislao sobre Crimes de Computer criminality legislation
Informtica
Legislao sobre proteo de Personal data protection
dados pessoais legislation
Legislao sobre registros Public records legislation
pblicos
Malware Malware
Medida de segurana Security measure

13 13
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

 Meio de armazenamento Storage Medium
No-repdio Non-repudiation
Nuvem Cloud
Oportunidade Opportunity
Organizao de Segurana Security organization
Patch Patch
Phishing Phishing
Plano de Continuidade de Business Continuity Plan (BCP)
Negcios (PCN)
Plano de Recuperao de Disaster Recovery Plan (DRP)
Desastre (PRD)
Poltica de mesa limpa Clear desk policy
Poltica de Privacidade Privacy policy
Poltica de Segurana Security policy
Porta de Manuteno Maintenance door
Preciso Precision
Preventiva Preventive
Prioridade Priority
Provisionamento de acesso do User access provisioning
usurio
Rede privada virtual (RPV) Virtual Private Network (VPN)
Redutiva Reductive
Redundncia Redundancy
Regulamentao de segurana Security regulations for special
para informaes especiais p/ o information for the government
governo
Regulamentao de Segurana Security regulations for the
para o governo government
Repressiva Repressive
Reviso da segurana da Information security review
informao
Risco Risk
Robustez Robustness
Rootkit Rootkit
Segregao de funes Segregation of duties
Segurana em desenvolvimento Security in development
Sistema de Informao Information system
Sistema de Deteco de Intrusion Detection System
Intrusos (IDS) (IDS)
Spyware Spyware
Stand-by Stand-by arrangement
Teste de aceitao do sistema System acceptance testing
Trabalho remoto/ distncia Teleworking
Trojan Trojan
Urgncia Urgency
Validao Validation
Verificao Verification
Vrus Virus
Vulnerabilidade Vulnerability
Worm Worm

14 14
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

4 Literatura

Literatura de Suporte para o Exame

A Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H.

Foundations of Information Security Based on ISO27001 and ISO27002
Van Haren Publishing, third edition, 2015
ISBN 978 94 018 0012 9
eBook 978 94 018 0541 4

Viso geral da literatura

Especificao do Literatura
exame
1.1 A: Captulo 3 e 4.10

1.2 A: Captulo 3 e 4

1.3 A: Captulo 3 e 4

2.1 A: Captulo 3

2.2 A: Captulo 3 e 11

3.1 A: Captulo 3, 5 e 6

3.2 A: Captulo 6, 7, 8 e 13

3.3 A: Captulo 3, 15 e 16

4.1 A: Captulo 3, 8 e 16

4.2 A: Captulo 3 e 11

4.3 A: Captulo 6, 10, 11 e 12

4.4 A: Captulo 3, 6, 9, 17 e 18

5.1 A: Captulo 18

15 15
Guia de Preparao de Documentos EXIN Fundamentos da Segurana da

Informao baseado na norma ISO/IEC 27002 (ISFS.PR)

Contato EXIN

www.exin.com