ISO 27002 Flashcards
Qual o propósito da 27002?
Guia de boas práticas de controles de segurança da informação.
A 27002 provê certificação?
Não, só a 27001.
Quais os meio utilizados para implantar os controles da 27002?
Políticas, Processos, Procedimentos, Estruturas organizacionais e Funções de hardware e software.
Como está estruturada a norma 27002 a partir da seção 5?
Controles - Objetivos de controles - Diretrizes - Informações adicionais
Defina: Segurança da Informação (visão do negócio)
Proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar os riscos do
negócio, maximizar o ROI e as oportunidades do negócio através da
implementação de controles que devem ser EIOMAMM em conjunto com
outros processo de gestão de negócio.
Quais são as fontes de requisitos de segurança da informação?
Análise e avaliação de risco,
legislação e requisitos de negócio.
Quais são os critérios para seleção dos controles?
Critérios de aceitação do risco, opções
para tratamento de risco, enfoque da organização no tratamento de risco,
legislação e regulamentação.
Quais são os Controles Essenciais?
1)Proteção de dados e privacidade de informações pessoais; 2) Proteção de registros organizacionais; 3)Direitos de propriedade intelectual.
Quais são os controles considerados práticas para segurança da informação?
1) documento da política de segurança da informação [5.1.1; 2) atribuição de responsabilidades para a segurança da informação [6.1.3]; 3) conscientização, educação e treinamento em segurança da informação [8.2.2]; 4) processamento correto nas aplicações [12.2]; 5) gestão de vulnerabilidades técnicas [12.6]; 6) gestão da continuidade do negócio [14]; 7) gestão de incidentes de segurança da informação e melhorias [13.2].
Quais são os fatores críticos de sucesso?
1) política de segurança da informação; 2)uma abordagem e uma estrutura consistente com a cultura organizacional; 3) comprometimento e apoio visível de todos os níveis gerenciais; 4)um bom entendimento dos requisitos de segurança, da análise/avaliação e gestão de riscos; 5)divulgação eficiente da segurança da informação para todos envolvidos para conscientização; 6) distribuição de diretrizes e normas sobre a política de segurança; 7) provisão de recursos financeiros; 8)provisão de conscientização e treinamento; 9) estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; 10) implementação de um sistema de medição para avaliar o desempenho da gestão da segurança da informação.
Defina: segurança da informação (visão da TI)
preservação da confidencialidade, da
integridade e da disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, não repúdio e
confiabilidade, podem também estar envolvidas.
Quais são os ativos, segundo a 27002?
1) Informação; 2) Software; 3) Pessoas; 4) Serviços; 5) Ativos físicos; 6) Imagem e reputação.
Defina: Risco
Combinação da probabilidade de um evento e de suas conseqüências.
Defina: Análise de riscos
Uso sistemático de informações para identificar fontes e
estimar o risco.
Defina: Avaliação de riscos
Processo de comparar o risco estimado com critérios
de risco pré-definidos para determinar a importância do risco
Defina: Gestão de riscos
Atividades coordenadas para direcionar e controlar uma
organização no que se refere a riscos. NOTA: A gestão de riscos geralmente
inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos
e a comunicação de riscos.
Defina: tratamento do risco
Processo de seleção e implementação de medidas
para modificar um risco.
Defina: Ameaça
Causa potencial de um incidente indesejado, que pode resultar em
dano para um sistema ou organização (está fora do ativo).
Defina: Vulnerabilidade
Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaças (está dentro/inerente ao ativo).
Defina: Evento de segurança da informação
Ocorrência identificada de um
sistema, serviço ou rede, que indica uma possível violação da política de
segurança da informação ou falha de controles, ou uma situação previamente
desconhecida, que possa ser relevante para a segurança da informação
Defina: Incidente de segurança da informação
Um incidente de segurança da
informação é indicado por um simples ou por uma série de eventos de
segurança da informação indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operações do negócio e ameaçar a
segurança da informação
Defina: Política
Intenções e diretrizes globais formalmente expressas pela direção.
Quantos? seções de controle / categorias principais de segurança / objetivos de controles / controles
11 seções de controles / 39 categorias principais de segurança / 39 objetivos de controles / 133 controles
Qual a periodicidade para fazer análise e avaliação de risco ?
A norma 27002 não determina periodicidade. Só diz que deve ser periódico para contemplar as mudanças nos requisitos de segurança.
A organização deve definir critérios de aceitação de risco?
SIM
A norma 27002 determina o tipo de análise de risco (qualitativa ou quantitativa)?
NÃO
Quais são as opções para tratamento de risco?
Reduzir (aplicar os controles); Aceitar (conhecer e aceitar o risco); Evitar (evitar ações que causam o evento de risco); Transferir (transferir o risco)
