Aula 00 Gestão de Segurança da Informação I · 2020. 8. 26. · • ISO/IEC 27000 –...
Transcript of Aula 00 Gestão de Segurança da Informação I · 2020. 8. 26. · • ISO/IEC 27000 –...
-
Prof. Gleyson Azevedo
Aula 00
1 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
Aula 00 – Gestão de Segurança
da Informação – I
Gestão de Segurança da Informação – Analista
Legislativo – Informática – AL-CE
Prof. Gleyson Azevedo
-
Prof. Gleyson Azevedo
Aula 00
2 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
Sumário
SUMÁRIO 2
APRESENTAÇÃO 3
VISÃO GERAL 5
NBR ISO/IEC 27001:2013 7
0. INTRODUÇÃO 9
1. ESCOPO 10
2. REFERÊNCIA NORMATIVA 11
3. TERMOS E DEFINIÇÕES 12
4. CONTEXTO DA ORGANIZAÇÃO 13
5. LIDERANÇA 14
6. PLANEJAMENTO 16
7. APOIO 18
8. OPERAÇÃO 20
9. AVALIAÇÃO DO DESEMPENHO 21
10. MELHORIA 22
QUESTÕES COMENTADAS PELO PROFESSOR 23
LISTA DE QUESTÕES 25
GABARITO 28
-
Prof. Gleyson Azevedo
Aula 00
3 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
Apresentação
Olá! Sou o professor Gleyson Azevedo e aqui no Direção Concursos ministro as disciplinas Redes
de Computadores e Segurança da Informação. Sou formado em Engenharia de Telecomunicações pelo
Instituto Militar de Engenharia (IME), Rio de Janeiro-RJ. Possuo Mestrado na área de Segurança da
Informação pela mesma instituição e nessa área atuo há treze anos.
Sou professor em cursos de pós-graduação nas áreas de Telecomunicações, de Redes de
Computadores e de Segurança da Informação, participo frequentemente de seminários e de congressos
proferindo palestras sobre temas como Criptografia, Segurança de Redes e Defesa Cibernética.
Minha experiência com o mundo dos concursos teve início em 2008 e desde então tenho
ministrado as disciplinas de Redes de Computadores e de Segurança da Informação em cursos
preparatórios nas capitais de diversos estados de nosso país. Já ministrei aulas nas cidades de Brasília,
Rio de Janeiro, Recife, Fortaleza, Belo Horizonte, Salvador e Manaus.
Mais recentemente, tenho voltado minha atenção para o treinamento de técnicas de estudo,
neuroaprendizagem e aprendizagem acelerada, sempre com foco na aprovação de alunos e orientandos
em concursos públicos.
A disciplina de Redes de Computadores costuma ser um problema para muitos concurseiros da
área de Tecnologia da Informação (TI), em especial para quem não é do perfil de suporte ou de
infraestrutura. Nosso trabalho aqui tem por objetivo torná-la absolutamente acessível para todos e
temos convicção, após onze anos preparando e aprovando percentual expressivo de alunos nos mais
diversos e importantes concursos do país, que iremos fazer o mesmo por você.
Neste material você terá:
Curso completo em VÍDEO
teoria e exercícios resolvidos sobre TODOS os pontos do edital
Curso completo escrito (PDF) teoria e MAIS exercícios resolvidos sobre TODOS os pontos do edital
Fórum de Dúvidas
para você sanar DIRETAMENTE conosco sempre que precisar
-
Prof. Gleyson Azevedo
Aula 00
4 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
Você está começando agora a estudar para concursos? Não se preocupe! Este curso também te
atende. Veremos toda a teoria que você precisa e resolveremos muitos exercícios para que você possa praticar bastante cada aspecto estudado e entender bem como a banca gosta de cobrar cada tema. Minha recomendação nestes casos é que você comece assistindo as videoaulas, para em seguida enfrentar as aulas em PDF. Fique à vontade para me procurar no fórum de dúvidas sempre que for necessário.
Caso você queira tirar alguma dúvida antes de adquirir o curso, basta me enviar um email ([email protected]) ou um direct pelo Instagram.
Conheça ainda as minhas outras redes sociais para acompanhar de perto o meu trabalho:
@gleysonazevedo
/bloggleysonazevedo
/gleyson131
mailto:[email protected]
-
Prof. Gleyson Azevedo
Aula 00
5 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
Visão Geral
A série de normas ISO/IEC 27000 inclui padrões de segurança da informação publicados em
conjunto pela Organização Internacional de Padronização (International Organization for Standardization
– ISO) e pela Comissão Eletrotécnica Internacional (International Electrotechnical Commission – IEC).
A série fornece recomendações de melhores práticas sobre gerenciamento de segurança da
informação, que compreende o gerenciamento de riscos de segurança da informação por meio de
controles, no contexto de um Sistema de Gestão de Segurança da Informação (SGSI), com desenho
similar aos sistemas de gestão para garantia de qualidade (série ISO 9000), de proteção ambiental (série
ISO 14000) e outros sistemas de gerenciamento.
O escopo é deliberadamente amplo, abrangendo mais do que apenas questões que envolvem a
privacidade ou confidencialidade e o contexto TI/técnico/cibersegurança. É aplicável a organizações de
todas as formas e tamanhos. Todas as organizações são incentivadas a avaliar seus riscos de informação
e tratá-los, normalmente empregando controles de segurança da informação, de acordo com suas
necessidades, usando as orientações e sugestões quando relevantes. Dada a natureza dinâmica do risco
e da segurança da informação, o conceito de SGSI incorpora atividades contínuas de feedback e
aprimoramento para responder a mudanças nas ameaças, vulnerabilidades ou impactos de incidentes.
Os padrões são produto do trabalho desenvolvido pelo Subcomitê 27 (SC27), do Comitê Técnico
Conjunto 1 (JTC1) da ISO/IEC, um organismo internacional que se reúne pessoalmente duas vezes por
ano.
CONTEXTO HISTÓRICO
Muitas pessoas e organizações estão envolvidas no desenvolvimento e manutenção dos padrões
ISO27000. A primeira norma da série foi a ISO/IEC 17799:2000, que era baseada no padrão britânico BS
7799 parte 1: 1999. Por sua vez, a versão inicial do BS 7799 foi baseada, em parte, em um manual de
política de segurança da informação desenvolvido pelo Royal Dutch/Shell Group entre o final dos anos
80 e início dos anos 90. Em 1993, o que era então o Departamento de Comércio e Indústria (Reino Unido)
reuniu uma equipe para revisar as práticas existentes em segurança da informação, com o objetivo de
produzir um documento normativo. Em 1995, o Grupo BSI publicou a primeira versão do BS 7799. A
ISO/IEC 17799:2000 foi revisada em 2005 e teve seu nome modificado em 2007, passando a se chamar
ISO/IEC 27002:2005. Essa norma foi revisada, dando origem à ISO/IEC 27002:2013.
A segunda parte da BS7799 foi publicada pela primeira vez pela BSI em 1999, conhecida como BS
7799 Parte 2, e intitulada "Sistemas de Gestão de Segurança da Informação – Especificação com
Orientações para Uso". A BS 7799-2 focou em como implementar um sistema de gestão de segurança da
informação (SGSI), referindo-se à estrutura e aos controles necessários ao gerenciamento da segurança
da informação identificados na BS 7799-2. Ela se tornou mais tarde a ISO/IEC 27001:2005. Por fim, a
revisão dessa norma deu origem à atual ISO/IEC 27001:2013.
-
Prof. Gleyson Azevedo
Aula 00
6 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
A BS 7799 Parte 3 foi publicada em 2005, cobrindo análise e gerenciamento de riscos. Está
alinhada com a ISO / IEC 27001: 2005 e fomentou a produção da norma ISO/IEC 27005:2008. A versão
atual dessa norma é a
NORMAS MAIS RELEVANTES
Seguem abaixo as principais normas dessa família:
• ISO/IEC 27000 – Princípios e Vocabulário. Define a nomenclatura utilizada nas normas
seguintes da família 27000.
• ISO/IEC 27001 – Tecnologia da Informação – Técnicas de segurança – Sistemas de Gestão de
Segurança da Informação – Requisitos. Única norma da família 27000 que é passível de certificação
acreditada. Todas as seguintes são apenas guias de boas práticas.
• ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para
controles de segurança da informação. Apresenta um rol de objetivos de controle e de controles de
segurança da informação.
• ISO/IEC 27003 – Tecnologia da informação – Técnicas de Segurança – Sistemas de gestão de
segurança da informação – Guia de Boas Práticas. Serve como guia para auxiliar a implantação de um
SGSI na forma de projeto.
• ISO/IEC 27004 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da
informação – Monitorização, medição, análise e avaliação. Serve de orientação para a medição da
eficácia de controles.
• ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos da
segurança da informação. Compreende parte essencial do processo executado para manter um SGSI.
• ISO/IEC 27006 – Tecnologia da informação – Técnicas de segurança – Requisitos para corpo
de auditoria e certificação de sistemas de gestão da segurança da informação. Utilizada por auditores,
juntamente com a ISO/IEC 19011, para a realização de auditoria em organizações que desejem
• ISO/IEC 27007 – Tecnologia da informação – Técnicas de segurança – Diretrizes para auditoria
de sistemas de gestão da segurança da informação.
-
Prof. Gleyson Azevedo
Aula 00
7 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
NBR ISO/IEC 27001:2013
ESTRUTURA
Conhecer a estrutura da norma é fundamental e é importante que se saiba exatamente os títulos
e do que trata cada uma das seções.
A norma ABNT NBR ISO/IEC 27001:2013 possui a seguinte estrutura:
0. Introdução
0.1 Geral
0.2 Compatibilidade com outras normas de sistemas de gestão
1. Escopo
2. Referência normativa
3. Termos e definições
4. Contexto da organização
4.1 Entendendo a organização e seu contexto
4.2 Entendendo as necessidades e as expectativas das partes interessadas
4.3 Determinando o escopo do sistema de gestão da segurança da informação
4.4 Sistema de gestão da segurança da informação
5. Liderança
5.1 Liderança e comprometimento
5.2 Política
5.3 Autoridades, responsabilidades e papéis organizacionais
6. Planejamento
6.1 Ações para contemplar riscos e oportunidades
6.2 Objetivo de segurança da informação e planejamento para alcançá-los
7. Apoio
7.1 Recursos
7.2 Competência
7.3 Conscientização
7.4 Comunicação
-
Prof. Gleyson Azevedo
Aula 00
8 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
7.5 Informação documentada
8. Operação
8.1 Planejamento operacional e controle
8.2 Avaliação de riscos de segurança da informação
8.3 Tratamento de riscos de segurança da informação
9. Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação
9.2 Auditoria interna
9.3 Análise crítica pela Direção
10. Melhoria
10.1 Não conformidade e ação corretiva
10.2 Melhoria contínua
Anexo A (normativo) – Referência aos controles e objetivos de controles
Atenção especial deve ser dada ao anexo A desta norma, que é um quadro resumo com todos os
objetivos de controle e controles da norma ABNT NBR ISO/IEC 27002:2013. Todavia, enquanto a 27001
só possui a citação dos controles, os detalhes e as diretrizes para implementação deles estão somente
na norma 27002.
Ao longo do texto a seguir, dê atenção especial a todas as partes que se encontrarem destacadas
em negrito, pois além delas observarem pontos importantes do texto normativo, já foram ou possuem
grande potencial de cobrança em questões de prova.
Para facilitar a diferenciação, doravante, os comentários do professor estarão em itálico.
-
Prof. Gleyson Azevedo
Aula 00
9 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
0. Introdução
0.1 GERAL
Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e
melhorar continuamente (EIMM) um sistema de gestão de segurança da informação (SGSI).
A adoção de um SGSI é uma decisão estratégica para uma organização.
O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas
suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho
e estrutura da organização.
É esperado que todos estes fatores de influência mudem ao longo do tempo.
O SGSI preserva a confidencialidade, integridade e disponibilidade da informação por meio da
aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que
os riscos são adequadamente gerenciados.
É importante que um SGSI seja parte de, e esteja integrado com, os processos da organização
e com a estrutura de administração global, e que a segurança da informação seja considerada no
projeto dos processos, sistemas de informação e controles.
É esperado que a implementação de um SGSI seja planejada de acordo com as necessidades da
organização.
Esta Norma pode ser usada por partes internas e externas, para avaliar a capacidade da
organização em atender aos seus próprios requisitos de segurança da informação.
A ordem na qual os requisitos são apresentados nesta Norma não reflete sua importância nem
implica a ordem em que devem ser implementados. Os itens listados são numerados apenas para fins de
referência.
0.2 COMPATIBILIDADE COM OUTRAS NORMAS DE SISTEMAS DE GESTÃO
Esta Norma aplica a estrutura de alto nível, os títulos de subseções idênticos, textos idênticos,
termos comuns e definições básicas, apresentadas no Anexo SL da ISO/IEC Directives, Part 1,
Consolidated ISO Supplement, mantendo desta forma a compatibilidade com outras normas de
sistemas de gestão que adotaram o Anexo SL.
Esta abordagem comum definida no Anexo SL será útil para aquelas organizações que escolhem
operar um único sistema de gestão que atenda aos requisitos de duas ou mais normas de sistemas
de gestão.
O objetivo dessa subseção é dizer que, caso uma organização deseje possuir um sistema de gestão
que compreenda a aplicação de duas ou mais normas de sistemas de gestão, como um sistema de gestão de
qualidade (ISO 9001), um sistema de gestão ambiental (ISO 14001) e um SGSI (ISO 27001), esse processo
seria facilitado devido a essas três normas possuírem estrutura idêntica, o que facilitaria o entendimento e a
aplicação delas.
-
Prof. Gleyson Azevedo
Aula 00
10 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
1. Escopo
Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar
continuamente um SGSI dentro do contexto da organização.
Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da
informação voltados para as necessidades da organização.
Os requisitos definidos nesta Norma são genéricos e são pretendidos para serem aplicáveis a
todas as organizações, independentemente do tipo, tamanho ou natureza.
A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável quando
a organização busca a conformidade com esta Norma.
Requisitos, segundo essa norma, são obrigações que devem ser atendidas para que se esteja em
conformidade com o texto normativo. Eles estão dispostos entre as seções 4 e 10, inclusive. Desta forma,
caso uma organização deseje pleitear obter a certificação com esta norma, ela não poderá deixar de, em
hipótese alguma, cumprir todos requisitos previstos.
É importante não confundir os requisitos da 27001 com requisitos de segurança da informação. Estes
últimos podem ser entendidos como necessidades de segurança e serão explicados adequadamente na
discussão da norma 27002.
-
Prof. Gleyson Azevedo
Aula 00
11 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
2. Referência Normativa
O documento relacionado a seguir é indispensável à aplicação deste documento:
• ISO/IEC 27000, Information technology – Security techniques – Information security
management systems – Overview and vocabular.
Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas,
aplicam-se as edições mais recentes do referido documento (incluindo emendas).
A 27001:2006 colocava a norma 27002 como indispensável à sua aplicação. Na 27001:2013, a
referência é exclusivamente a 27000, que é uma norma de definições e visão geral de segurança da
informação.
-
Prof. Gleyson Azevedo
Aula 00
12 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
3. Termos e Definições
Para os efeitos deste documento, aplicam-se os termos e definições apresentados na ISO/IEC
27000.
A versão atual da norma não traz qualquer termo ou definição. Todavia, seguem alguns exemplos de
termos e definições importantes presentes na versão antiga e que já foram objeto de cobrança em questões
de prova:
• Sistema de Gestão da Segurança da Informação (SGSI) – a parte do sistema de gestão global,
baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar (EIOMAMM) a segurança da informação. Inclui: estrutura organizacional,
políticas, planejamento de atividades, responsabilidades, práticas, procedimentos, processos e recursos.
• Evento de segurança da informação – uma ocorrência identificada de um estado de sistema,
serviço ou rede indicando uma possível violação da política de segurança da informação ou falha de
controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da
informação.
• Incidente de segurança da informação – um simples ou uma série de eventos de segurança da
informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as
operações do negócio e ameaçar a segurança da informação. Pode-se simplificadamente afirmar que é um
conjunto de eventos e é crítico, enquanto o evento de segurança da informação é apenas relevante.
• Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade
autorizada.
• Confidencialidade – propriedade de que a informação não esteja disponível ou revelada a
indivíduos, entidades ou processos não autorizados.
• Integridade – propriedade de salvaguarda da exatidão e completeza de ativos.
• Ativo – qualquer coisa que tenha valor para a organização.
• Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle
e controles que são pertinentes e aplicáveis ao SGSI da organização.
-
Prof. Gleyson Azevedo
Aula 00
13 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
4. Contexto da Organização
A partir daqui começam os requisitos da norma 27001:2013.
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO
A organização deve determinar as questões internas e externas que são relevantes para o seu
propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu SGSI.
Nota: A determinação destas questões refere-se ao estabelecimento do contexto interno e
externo da organização apresentado em 5.3 da ABNT NBR ISO 31000:2009.
A despeito da norma ISO/IEC 27005 versar sobre riscos de segurança da informação, a norma 27001
não faz qualquer referência a ela em seu texto. Mais que isso: todas as referências que ela faz a norma que
trate de riscos são direcionadas à 31000.
4.2 ENTENDENDO AS NECESSIDADES E AS EXPECTATIVAS DAS PARTES INTERESSADAS
A organização deve determinar:
• as partes interessadas que são relevantes para o SGSI;
• os requisitos dessas partes interessadas relevantes para a segurança da informação.
NOTA: Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares,
bem como obrigações contratuais.
4.3 DETERMINANDO O ESCOPO DO SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
A organização deve determinar os limites e a aplicabilidade do SGSI para estabelecer o seu
escopo.
Quando da determinação deste escopo, a organização deve considerar:
• as questões internas e externas referenciadas em 4.1;
• os requisitos referenciados em 4.2; e
• as interfaces e dependências entre as atividades desempenhadas pela organização e aquelas
que são desempenhadas por outras organizações.
O escopo deve estar disponível como informação documentada.
Todas as vezes que a norma cita que algo deve estar disponível como informação documentada, isso
significa que aquilo se trata de evidência de auditoria de que requisito(s) da norma está(ão) sendo
cumprido(s).
4.4 SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
A organização deve estabelecer, implementar, manter e continuamente melhorar um SGSI, de
acordo com os requisitos desta Norma.
-
Prof. Gleyson Azevedo
Aula 00
14 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
5. Liderança
Esta é uma das seções mais cobradas da norma em questões de prova e o estudo dela deve ser o mais
minucioso possível.
5.1 LIDERANÇA E COMPROMETIMENTO
A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI pelos
seguintes meios:
• assegurando que a política de segurança da informação e os objetivos de segurança da
informação estão estabelecidos e são compatíveis com a direção estratégica da organização;
• garantindo a integração dos requisitos do SGSI dentro dos processos da organização;
• assegurando que os recursos necessários para o SGSI estão disponíveis;
• comunicando a importância de uma gestão eficaz da segurança da informação e da
conformidade com os requisitos do SGSI;
• assegurando que o SGSI alcança seus resultados pretendidos;
• orientando e apoiando pessoas que contribuam para eficácia do SGSI;
• promovendo a melhoria contínua;
• apoiando outros papéis relevantes da gestão para demonstrar como sua liderança se aplica
às áreas sob sua responsabilidade.
Apesar de todos os requisitos acima serem importantes, dê especial atenção aos três primeiros.
Particularmente, perceba que o terceiro diz que a responsabilidade da alta direção no tocante a recursos é,
especificamente, assegurar a sua disponibilidade. Compare com o disposto no item 7.1.
5.2 POLÍTICA
A Alta Direção deve estabelecer uma política de segurança da informação que:
• seja apropriada ao propósito da organização;
• inclua os objetivos de segurança da informação (ver 6.2) ou forneça a estrutura para
estabelecer os objetivos de segurança da informação;
• inclua o comprometimento em satisfazer os requisitos aplicáveis, relacionados com a
segurança da informação;
• inclua o comprometimento com a melhoria contínua do SGSI.
A política de segurança da informação deve:
• estar disponível como informação documentada;
• ser comunicada dentro da organização; e
• estar disponível para as partes interessadas, conforme apropriado.
5.3 AUTORIDADES, RESPONSABILIDADES E PAPÉIS ORGANIZACIONAIS
A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para
a segurança da informação sejam atribuídos e comunicados.
A Alta Direção deve atribuir a responsabilidade e autoridade para:
-
Prof. Gleyson Azevedo
Aula 00
15 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
• assegurar que o SGSI está em conformidade com os requisitos da Norma;
• relatar sobre o desempenho do SGSI para a Alta Direção.
NOTA: A Alta Direção pode também atribuir responsabilidades e autoridades para relatar o
desempenho do SGSI dentro da organização.
-
Prof. Gleyson Azevedo
Aula 00
16 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
6. Planejamento
Assim como a anterior, esta é também uma seção bastante cobrada em questões de prova. Deve-se
dar especial atenção aos itens 6.1.2, 6.1.3 e 6.2.
6.1 AÇÕES PARA CONTEMPLAR RISCOS E OPORTUNIDADES
6.1.1 GERAL
A organização deve planejar:
• as ações para considerar estes riscos e oportunidades; e
• como
• integrar e implementar estas ações dentro dos processos do seu SGSI; e
• avaliar a eficácia destas ações.
6.1.2 AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
A organização deve definir e aplicar um processo de avaliação de riscos de segurança da
informação que:
• estabeleça e mantenha critérios de riscos de segurança da informação que incluam:
• os critérios de aceitação do risco; e
• os critérios para o desempenho das avaliações dos riscos de segurança da informação;
• assegure que as contínuas avaliações de riscos de segurança da informação produzam
resultados comparáveis, válidos e consistentes;
• identifique os riscos de segurança da informação:
• analise os riscos de segurança da informação:
• avalie os riscos de segurança da informação:
• compare os resultados da análise dos riscos com os critérios de riscos estabelecidos; e
• priorize os riscos analisados para o tratamento do risco.
A organização deve reter informação documentada sobre o processo de avaliação de risco de
segurança da informação.
É importante observar duas questões aqui:
1) o processo de avaliação de riscos descrito aqui contempla o estabelecimento de critérios de risco,
que não é tarefa efetivamente relacionada a esse processo, mas à definição de contexto, segundo a norma
27005;
2) maiores detalhes sobre as ações executadas em cada uma das fases do processo de avaliação de
riscos serão vistos no estudo da norma 27005.
6.1.3 TRATAMENTO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:
• selecionar as opções de tratamento dos riscos, levando em consideração os resultados da avaliação do risco;
-
Prof. Gleyson Azevedo
Aula 00
17 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
• determinar todos os controles que são necessários para implementar as opções escolhidas
do tratamento do risco;
• comparar os controles determinados com aqueles do Anexo A e verificar se algum controle necessário foi omitido;
• elaborar uma declaração de aplicabilidade que contenha os controles necessários e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A;
• preparar um plano para tratamento dos riscos de segurança da informação;
• obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação.
A organização deve reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação.
NOTA: O processo de tratamento e a avaliação dos riscos de segurança da informação desta Norma estão alinhados com os princípios e diretrizes gerais definidos na ABNT NBR ISO 31000.
Na 27001:2006, os controles eram escolhidos tendo como referência inicial o anexo A da norma e depois outros controles podiam complementar o rol de escolhas. Na versão atual, a ordem é: primeiro são escolhidos os controles desejáveis, depois a lista é comparada com o anexo A para verificar eventuais omissões.
Mais uma vez a norma citada no tocante ao gerenciamento de riscos é a 31000 e não a 27005, como
se poderia imaginar.
6.2 OBJETIVO DE SEGURANÇA DA INFORMAÇÃO E PLANEJAMENTO PARA ALCANÇÁ-LOS
A organização deve estabelecer os objetivos de segurança da informação para as funções e níveis
relevantes.
Os objetivos de segurança da informação devem ser:
• consistentes com a política de segurança da informação;
• ser mensuráveis (quando aplicável);
• levar em conta os requisitos de segurança da informação aplicáveis e os resultados da
avaliação e tratamento dos riscos;
• ser comunicados; e
• ser atualizados, conforme apropriado.
A organização deve reter informação documentada dos objetivos de segurança da informação.
Quando do planejamento para alcançar os seus objetivos de segurança da informação, a
organização deve determinar:
• o que será feito;
• quais recursos serão necessários;
• quem será responsável;
• quando estará concluído;
• como os resultados serão avaliados.
-
Prof. Gleyson Azevedo
Aula 00
18 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
7. Apoio
Uma diferença marcante entre a 27001:2013 e a 27001:2006 está na não citação textual do ciclo
PDCA na versão mais recente. Depreende-se que este ciclo ocorre de forma implícita, mas não é citado
diretamente.
A despeito disso, é comum a percepção de que as seções 4 a 7 compreenderiam o processo de
planejamento (Plan), a seção 8 a execução (Do), a seção 9 a verificação (Check) e a seção 10 a ação corretiva
(Act). Fazendo paralelo disso com os verbos auxiliares comumente empregados em relação a essas etapas
do PDCA, a saber, estabelecer (Plan), implementar e operar (Do), monitorar e analisar criticamente (Check),
manter e melhorar (Act), pode-se afirmar que as seções 4 a 7 correspondem ao estabelecimento do SGSI.
Esse tipo de associação já foi objeto de cobrança em provas de concurso público.
7.1 RECURSOS
A organização deve determinar e prover recursos necessários para o estabelecimento,
implementação, manutenção e melhoria contínua do SGSI.
Observe que nesta norma há dois requisitos relacionados com recursos e com dois responsáveis
distintos:
1) determinar e prover recursos – a organização;
2) assegurar a disponibilidade de recursos – alta direção (ver 5.1 da norma).
7.2 COMPETÊNCIA
A organização deve:
• determinar a competência necessária das pessoas que realizam trabalho sob o seu controle
e que afeta o desempenho da segurança da informação;
• assegurar que essas pessoas são competentes, com base na educação, treinamento ou
experiência apropriados;
• onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das
ações tomadas; e
• reter informação documentada apropriada como evidência da competência.
NOTA: ações apropriadas podem incluir, por exemplo: fornecimento de treinamento para os
facilitadores, os funcionários atuais ou pessoas competentes, próprias ou contratadas.
7.3 CONSCIENTIZAÇÃO
Pessoas que realizam trabalho sob o controle da organização devem estar cientes da:
• política de segurança da informação;
• suas contribuições para a eficácia do SGSI, incluindo os benefícios da melhoria do desempenho
da segurança da informação;
• implicações da não conformidade com os requisitos do SGSI.
-
Prof. Gleyson Azevedo
Aula 00
19 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
7.4 COMUNICAÇÃO
A organização deve determinar as comunicações internas e externas relevantes para o SGSI
incluindo:
• o que comunicar;
• quando comunicar;
• quem comunicar;
• quem será comunicado; e
• o processo pelo qual a comunicação será realizada.
7.5 INFORMAÇÃO DOCUMENTADA
7.5.1 GERAL
O SGSI da organização deve incluir:
• informação documentada requerida por esta Norma;
• informação documentada determinada pela organização como sendo necessária para a
eficácia do SGSI.
7.5.2 CRIANDO E ATUALIZANDO
Quando da criação e atualização da informação documentada, a organização deve assegurar, de
forma apropriada:
• identificação e descrição (por exemplo, título, data, autor ou um número de referência);
• formato (por exemplo, linguagem, versão do software, gráficos) e o seu meio (por exemplo,
papel, eletrônico);
• análise crítica e aprovação para pertinência e adequação.
7.5.3 CONTROLE DA INFORMAÇÃO DOCUMENTADA
A informação documentada requerida pelo SGSI e por esta Norma deve ser controlada para
assegurar que:
• esteja disponível e adequada para o uso, onde e quando necessário;
• esteja protegida adequadamente (por exemplo, contra perda de confidencialidade, uso
indevido ou perda de integridade).
Para o controle da informação documentada, a organização deve considerar as seguintes
atividades, conforme aplicadas:
• distribuição, acesso, recuperação e uso;
• armazenagem e preservação, incluindo a preservação da legibilidade;
• controle de mudanças (por exemplo, controle de versão);
• retenção e disposição.
A informação documentada de origem externa, determinada pela organização como necessária
para o planejamento e operação do SGSI, deve ser identificada como apropriado, e controlada.
NOTA: O acesso implica em uma decisão quanto à permissão para apenas ler a informação
documentada ou a permissão e autoridade para ver e alterar a informação documentada.
-
Prof. Gleyson Azevedo
Aula 00
20 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
8. Operação
8.1 PLANEJAMENTO OPERACIONAL E CONTROLE
A organização deve planejar, implementar e controlar os processos necessários para atender aos
requisitos de segurança da informação e para implementar as ações determinadas em 6.1.
A organização deve também implementar planos para alcançar os objetivos de segurança da
informação determinados em 6.2.
A organização deve manter a informação documentada na abrangência necessária para gerar
confiança de que os processos estão sendo realizados conforme planejado.
A organização deve controlar as mudanças planejadas e analisar criticamente as consequências
de mudanças não previstas, tomando ações para mitigar quaisquer efeitos adversos, conforme
necessário.
A organização deve assegurar que os processos terceirizados estão determinados e são
controlados.
8.2 AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
A organização deve realizar avaliações de riscos de segurança da informação a intervalos
planejados, ou quando mudanças significativas são propostas ou ocorrem, levando em conta os
critérios estabelecidos em 6.1.2.
A organização deve reter informação documentada dos resultados das avaliações de risco de
segurança da informação.
Observe que, diferentemente do disposto em 6.1.2, onde a organização deveria “definir e aplicar um
processo de avaliação de riscos de segurança da informação”, aqui a atribuição é de realização da avaliação
de risco, o que corrobora a visão de planejamento da seção 6 em contraste com a execução, que é o objetivo
da seção 8.
8.3 TRATAMENTO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
A organização deve implementar o plano de tratamento de riscos de segurança da informação.
A organização deve reter informação documentada dos resultados do tratamento dos riscos.
Em relação ao disposto em 6.1.3, o disposto aqui corresponde à finalização do processo de
tratamento de risco, que compreenderia a implementação do plano elaborado na fase de planejamento.
-
Prof. Gleyson Azevedo
Aula 00
21 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
9. Avaliação do desempenho
9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO
A organização deve avaliar o desempenho da segurança da informação e a eficácia do SGSI.
A organização deve determinar:
• o que precisa ser monitorado e medido, incluindo controles e processos de segurança da
informação;
• os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para
assegurar resultados válidos;
• quando o monitoramento e a medição devem ser realizados;
• o que deve ser monitorado e medido;
• quando os resultados do monitoramento e da medição devem ser analisados e avaliados;
• quem deve analisar e avaliar estes resultados.
A organização deve reter informação documentada apropriada como evidência do
monitoramento e dos resultados da medição.
9.2 AUDITORIA INTERNA
A organização deve conduzir auditorias internas a intervalos planejados para prover
informações sobre o quanto o SGSI está em conformidade com os próprios requisitos da organização e
com os requisitos desta Norma e está efetivamente implementado e mantido.
Duas observações importantes:
1) a responsabilidade pela condução das auditorias internas é da organização e não da alta direção
ou qualquer outra entidade;
2) a norma não determina uma periodicidade específica para essas auditorias.
9.3 ANÁLISE CRÍTICA PELA DIREÇÃO
A Alta Direção deve analisar criticamente o SGSI da organização a intervalos planejados, para
assegurar a sua contínua adequação, pertinência e eficácia.
Os resultados da análise crítica pela Direção devem incluir decisões relativas a oportunidades para
melhoria contínua e quaisquer necessidades para mudanças do SGSI.
A organização deve reter informação documentada como evidência dos resultados das análises
críticas pela Direção.
A “análise crítica” nessa e em outras normas é um processo que tem como entrada uma série de
informações, inclusive análises crítica anteriores, e produz como saída tipicamente decisões voltadas para
melhoria.
Repare que nesta norma os requisitos relacionados com a alta direção não ficam restritos à seção 5.
-
Prof. Gleyson Azevedo
Aula 00
22 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
10. Melhoria
10.1 NÃO CONFORMIDADE E AÇÃO CORRETIVA
Quando uma não conformidade ocorre, a organização deve:
• reagir a não conformidade e, conforme apropriado:
• tomar ações para controlar e corrigi-la; e
• tratar com as consequências;
• avaliar a necessidade de ações para eliminar as causas de não conformidade, para evitar sua
repetição ou ocorrência, por um dos seguintes meios:
• analisando criticamente a não conformidade;
• determinando as causas da não conformidade; e
• determinando se não conformidades similares existem, ou podem potencialmente ocorrer.
• implementar quaisquer ações necessárias;
• analisar criticamente a eficácia de quaisquer ações corretivas tomadas; e
• realizar mudanças no sistema de gestão da segurança da informação, quando necessário.
As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
A organização deve reter informação documentada como evidência da:
• natureza das não conformidades e quaisquer ações subsequentes tomadas; e
• resultados de qualquer ação corretiva.
A versão anterior dessa norma contemplava, além das ações corretivas, outras de natureza
preventiva, que deviam ser adotadas como solução para não conformidades potenciais. Na versão atual não
há citação desse tipo de não conformidade, nem tampouco de ações preventivas.
10.2 MELHORIA CONTÍNUA
A organização deve continuamente melhorar a pertinência, adequação e eficácia do SGSI.
-
Prof. Gleyson Azevedo
Aula 00
23 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
Questões comentadas pelo professor
1. (CESPE – TCU – Auditor Federal de Controle Externo – Auditoria de Tecnologia da Informação – 2015)
Na especificação e na implementação do SGSI, devem se considerar as necessidades, os objetivos e os
requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua
estrutura.
Comentários:
Segundo a subseção 0.1 da norma, “o estabelecimento e a implementação do SGSI de uma
organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos
organizacionais usados, tamanho e estrutura da organização.”
Resposta: item ERRADO.
2. (CESPE – TCE-PA – Auditor de Controle Externo – Analista de Segurança – 2016)
Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas
formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.
Comentários:
De acordo com a seção 1 da norma 27001, que define o seu escopo, “a exclusão de quaisquer dos
requisitos especificados nas Seções 4 a 10 não é aceitável quando a organização busca a conformidade
com esta Norma”.
Resposta: item ERRADO.
3. (CESPE – PJM-CGM – Auditor Municipal de Controle Interno – Desenvolvimento de Sistemas – 2018)
As organizações devem estabelecer os objetivos de segurança da informação de forma independente de sua
política de segurança da informação.
Comentários:
De acordo com a subseção 5.2 da norma 27001, a política de segurança da informação deve incluir
os objetivos de segurança da informação ou fornecer estrutura para estabelecê-los. Ainda de acordo com
a subseção 6.2 da referida norma, os objetivos de segurança da informação devem ser consistentes com
a política de segurança da informação.
Resposta: item ERRADO.
4. (CESPE – PJM-CGM – Auditor Municipal de Controle Interno – Desenvolvimento de Sistemas – 2018)
A referida norma prevê que as organizações estabeleçam e mantenham critérios de riscos de segurança da
informação que incluam os critérios de aceitação do risco.
Comentários:
O texto da questão está em concordância com o disposto na subseção 6.1.2, que afirma: “A
organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que
-
Prof. Gleyson Azevedo
Aula 00
24 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
estabeleça e mantenha critérios de riscos de segurança da informação que incluam os critérios de
aceitação do risco”.
Resposta: item CERTO.
5. (CESPE – MEC-OS – Administrador de Rede – 2015)
De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema
de gerenciamento de segurança da informação.
Comentários:
Nessa norma não há referência a outra modalidade de auditoria que não seja a interna, que é um
dos processos mais relevantes que integra o ciclo do SGSI e que é detalhada na subseção 9.2.
Resposta: item ERRADO.
-
Prof. Gleyson Azevedo
Aula 00
25 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
Lista de Questões
1. (CESPE – BB CERTIFICAÇÃO – 19.º CERTAME – Gestão de Segurança – 2016)
A norma ABNT NBR ISO/IEC 27001: 2013 especifica os requisitos para estabelecer, implementar, manter e
melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização.
De acordo com essa norma, a alta direção é responsável por ações específicas no que concerne à liderança e
comprometimento, à política da informação de segurança, às autoridades, responsabilidades e papéis
organizacionais.
ABNT NBR ISO/IEC 27001 :2013 (com adaptações).
Uma ação específica da alta direção da organização, no que concerne à política de segurança da informação, é a
de
(A) incluir o seu comprometimento com a melhoria contínua do sistema de gestão da segurança da informação.
(B) apoiar outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às áreas sob sua
responsabilidade.
(C) assegurar que a política de segurança da informação está estabelecida e é compatível com a direção
estratégica da organização.
(D) comunicar a importância de uma gestão eficaz da segurança da informação e da conformidade com os
requisitos do sistema de gestão da segurança da informação.
(E) atribuir responsabilidade e autoridade para assegurar que o sistema de gestão da segurança da informação
está em conformidade com os requisitos da norma ABNT NBR ISO/IEC 27001.
2. (CESPE – TRT-7 – Analista Judiciário – Tecnologia da Informação – 2017)
De acordo com a ABNT NBR ISO/IEC 27001, a alta direção da organização tem papel fundamental no sistema de
gestão de segurança da informação (SGSI). Nesse contexto, ela deve estabelecer uma política de segurança da
informação que
(A) inclua o comprometimento com a melhoria contínua do SGSI.
(B) reduza efeitos indesejados.
(C) informe responsáveis por cada ativo de informação.
(D) crie mecanismos de avaliação de riscos compatíveis com o framework Cobit 5.
3. (CESPE – TRT-8 – Analista Judiciário – Tecnologia da Informação – 2015)
De acordo com a norma NBR ISO/IEC 27001, a organização deve definir uma política do SGSI que
(A) esteja alinhada com o contexto estratégico de gestão de riscos da organização.
(B) seja escrita essencialmente com base em um modelo de SGSI padronizado para organizações de porte
similar.
(C) inclua, em seu texto, um estudo detalhado dos riscos previamente avaliados.
(D) seja elaborada pela direção e formalmente aprovada pela maioria dos empregados da organização.
(E) seja totalmente independente de requisitos legais e desvinculada de obrigações contratuais.
-
Prof. Gleyson Azevedo
Aula 00
26 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
4. (CESPE – CGE-CE – Analista de Tecnologia da Informação –Desenvolvimento de Sistemas – 2019)
De acordo com NBR ISO/IEC 27001, em um sistema de gestão de segurança da informação (SGSI), o escopo é
definido na fase
(A) melhorar.
(B) analisar.
(C) estabelecer.
(D) implementar.
(E) manter.
5. (CESPE – TCE-RO – Analista de Tecnologia da Informação – Desenvolvimento de Sistemas – 2019)
De acordo com a NBR ISO/IEC n.º 27001:2013, a alta direção de uma organização deve demonstrar liderança e
comprometimento em relação ao sistema de gestão da segurança da informação. Para isso, ela deve
I assegurar que a política de segurança da informação seja compatível com a direção estratégica da organização.
II comunicar a importância da conformidade com os requisitos do sistema de gestão da segurança da
informação.
III analisar criticamente os códigos quanto ao uso de técnicas de programação segura.
IV orientar pessoas que contribuam para a eficácia do sistema de gestão da segurança da informação.
Estão certos apenas os itens
A I e II.
B I e III.
C III e IV.
D I, II e IV.
E II, III e IV.
Com base no disposto na NBR ISO/IEC 27001:2013, julgue o item a seguir, relativo à gestão de segurança da
informação.
6. (CESPE – TCE-PA – Auditor de Controle Externo – Analista de Segurança – 2016)
Devido a seu conteúdo confidencial e estratégico, a política de segurança da informação de uma organização
deve estar disponível, como informação documentada, exclusivamente para a alta gerência.
7. (CESPE – PMJP-CMJP – Auditor Municipal de Controle Interno – Tecnologia da Informação –
Desenvolvimento de Sistemas – 2018)
A organização deve determinar e prover recursos necessários a estabelecimento, implementação, manutenção e
melhoria contínua do sistema de gestão de segurança da informação (SGSI).
8. (CESPE – TCE-PA – Auditor de Controle Externo – Analista de Segurança – 2016)
Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas formais,
requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.
-
Prof. Gleyson Azevedo
Aula 00
27 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
9. (CESPE – TJDFT – Analista Judiciário – Análise de Sistemas – 2015)
Embora destituída da norma ISO/IEC 27001, a condução de auditorias internas deve ser realizada no sistema de
gestão da segurança da informação (SGSI) a fim de conferência quanto à qualidade da execução das atividades
de controle.
10. (CESPE – STJ – Analista Judiciário – Suporte em Tecnologia da Informação – 2015)
De acordo com a norma ISO 27001, o sistema de gerenciamento da segurança da informação deve ser revisado
regularmente, considerando-se as sugestões e os feedbacks das partes interessadas.
-
Prof. Gleyson Azevedo
Aula 00
28 de 28 | www.direcaoconcursos.com.br
Gestão da Segurança da Informação – Analista Legislativo – Informática –
AL-CE
Gabarito 1. C
2. A
3. A
4. C
5. D
6. E
7. C
8. E
9. E
10. C