Segurança da Informação

Question 1

As normas NBR ISO são traduções das normas ISO (internacionais) para o português e que passam a ser adotadas pela ABNT.

Question 2

ISO 27000: dispõe sobre a visão geral, o vocabulário utilizado no contexto de sistema de gerenciamento de segurança da informação e referencia as normas da família 27000.

Question 3

ISO 27001: especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI.

Question 4

ISO 27002: especifica boas práticas para a gestão de um SGSI.

Question 5

ISO 27003: especifica diretrizes para a implantação de um SGSI, incluindo o processo de especificação e projeto do SGSI.

Question 6

ISO 27004: dispõe sobre o monitoramento, medição, análise e avaliação dos SGSI.

Question 7

ISO 27005: dispõe sobre a gestão de riscos de segurança da informação.

Question 8

ISO 27001

O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho e estrutura da organização.

Question 9

ISO 27001

Um SGSI deve preservar as propriedades da segurança da informação: confidencialidade, integridade e disponibilidade.

Question 10

As normas da família ISO 27000 são estabelecidas de maneira geral e se aplicam a todas as organizações independentemente.

Question 11

O Anexo A da ISO 27002 lista mecanismos de controle de segurança da informação que podem ser selecionados por uma organização.
Exemplos: criptografia, controle de acesso.

Question 12

ISO 27001

Requisito 4 - Contexto

Deve ser entendida a organização e seu contexto e determinar as questões internas e externas, entender as necessidades e expectativas das partes interessadas.
Com isso, determina-se o escopo do SGSI.

Question 13

ISO 27001

Requisito 5 - Liderança

A alta direção da organização deve estabelecer uma política de segurança da informação:

• de acordo com o propósito da organização.
• estabelecendo objetivos da SI.
• comprometimento com a sua realização.
• fornecendo a devida estrutura.
• comprometimento com melhoria contínua.

Question 14

ISO 27001

Requisito 6 - Planejamento

Devem ser tomadas ações para contemplar riscos e oportunidades para:

• assegurar que o SGSI poderá alcançar seus resultados.
• reduzir efeitos indesejados.
• alcançar melhoria contínua.

Question 15

ISO 27001

Requisito 7 - Apoio

A organização deve determinar e prover recursos para estabelecer, implementar, manter e melhorar continuamente o SGSI.

Incluindo:

• treinamento dos funcionários.
• conscientização.
• comunicação.
• documentação da informação.

Question 16

A ISO 27001 tem como requisito a documentação da informação, e deve ser assegurada a sua disponibilidade e proteção.

Question 17

ISO 27001

Requisito 8 - Operação

A organização deve planejar, implementar e controlar os processos necessários para atender os requisitos de segurança da informação, levando em conta os objetivos, riscos e oportunidades ligadas à segurança da informação.

Question 18

ISO 27001

A organização deve manter informação documentada na abrangência necessária com o intuito de gerar confiança de que os processos estão sendo realizados conforme planejado.

Question 19

ISO 27001

Requisito 8 - Operação

A organização deve definir e aplicar um processo de avaliação e tratamento de riscos, incluindo:

• critérios para avaliação do risco de SI.
• critérios para avaliação do desempenho.
• critérios para aceitação do risco.

Question 20

ISO 27001

Requisito 9 - Avaliação do desempenho

A organização deve avaliar o desempenho e eficácia do SGSI.

Isso inclui:

• determinar o que deve ser avaliado, incluindo controles e processos.
• os métodos para monitoramento, medição e avaliação.
• planejamento de quando e a frequência com que a avaliação é realizada.
• os encarregados pela avaliação.

Question 21

ISO 27001

Requisito 9 - Avaliação do desempenho

A organização deve reter a informação documentada como evidência da realização do monitoramento e dos resultados da medição.

Question 22

ISO 27001

Requisito 9 - Avaliação do desempenho

A organização deve realizar auditorias internas para avaliar

• a conformidade do SGSI com os requisitos por ela estabelecidos.
• a conformidade com os requisitos da Norma 27000.
• se o SGSI está efetivamente implementado e mantido.

A ocorrência e frequência das auditorias internas deve ser planejada.

Question 23

ISO 27001

Requisito 10 - Melhoria

Quando ocorre uma não conformidade, a organização deve:

• tomar ações corretivas para controlar e corrigir.
• tratar com as possíveis consequências.

Question 24

ISO 27001

Requisito 10 - Melhoria

A organização deve reter informação documentada como evidência da:

• natureza das não conformidades e quaisquer ações subsequentes tomadas;
• resultados de qualquer ação corretiva.

Question 25

A ISO 27002 é o código de boas práticas para segurança da informação, e é também uma referência na seleção de mecanismos de controle para implementação de um SGSI.

Question 26

ISO 27002

As principais fontes de requisitos de SI são:

• avaliação de riscos.
• requisitos da organização.
• objetivos da organização.
• legislação, contratos, estatutos.

Question 27

A ISO 27002 não estabelece requisitos, mas sim boas práticas que são recomendadas, porém não sendo obrigatórias.

Question 28

A ISO 27002 é composta de

• 14 seções.
• cada seção define um ou mais objetivos de controle.
• para cada objetivo há um ou mais controles que podem ser aplicados para se alcançar este objetivo.

Question 29

ISO 27002

Seção 5 - Política de SI

É recomendado que seja definido uma política de segurança da informação, incluindo a definição dos objetivos, requisitos e princípios para guiar todas as atividades relativas à SI.

Question 30

ISO 27002

Seção 6 - Organização da SI

É recomendado estabelecer uma estrutura de gerenciamento, a fim de iniciar e controlar a implementação da segurança da informação dentro da organização.

As responsabilidades pela segurança da informação devem ser definidas e atribuídas.

Question 31

ISO 27002

Seção 6 - Organização da SI

É recomendado segregar funções e áreas de responsabilidade, com o intuito de não deixar acumular funções e muito controle em um único indivíduo, com o intuito de reduzir as oportunidades de modificação indevida.

Question 32

ISO 27002

Seção 6 - Organização da SI

Além da segregação de funções, é recomendado considerar outros mecanismos de controle, como monitoramento das atividades, auditoria e supervisão.

Question 33

ISO 27002

Seção 6 - Organização da SI

É recomendado que a segurança da informação seja considerada no gerenciamento de projetos, durante toda a vida do projeto, e independentemente do tipo.

• os objetivos de SI devem ser contemplados nos objetivos do projeto.
• avaliação de riscos de SI desde o início do projeto.
• Si seja parte de todas as fases do projeto.

Question 34

ISO 27002

Seção 6 - Organização da SI

Também traz recomendações sobre o uso de dispositivos móveis, a fim de evitar que informações da organização não sejam comprometidas.

Inclui:

• controle de acesso.
• criptografia.
• backup.

Question 35

ISO 27002

Seção 6 - Organização da SI

Quanto ao uso de dispositivos móveis, recomenda a separação do uso para fins pessoais e fins da organização, incluindo medidas de software para proteger os dados da organização até mesmo em dispositivo privado.

Question 36

ISO 27002

Seção 6 - Organização da SI

Também traz recomendações sobre trabalho remoto, a fim de evitar que informações da organização não sejam comprometidas.

Recomenda-se:

• considerar a segurança nas comunicações.
• evitar o armazenamento de informações em dispositivos pessoais.
• provisão de acesso à intranet e estações de trabalho.
• requisitos para os dispositivos, como antivírus e firewall.

Question 37

ISO 27002

Seção 7 - Segurança em recursos humanos

Estabelece diretrizes para assegurar que funcionários e partes externas entendam e cumpram suas responsabilidades e estejam em conformidade com a política de SI, inclusive antes, durante e após a contratação.

Question 38

ISO 27002

Seção 7 - Segurança em recursos humanos

Recomenda:

• treinamento e conscientização do pessoal com relação à SI.
• instruir todos os funcionários a praticar a SI de acordo com o estabelecido na política de SI da organização.
• definir um processo disciplinar formal para tomar ações contra funcionários que tenham violado a política de SI.

Question 39

ISO

Seção 8 - Gestão de ativos

Recomenda a identificação dos ativos em inventário e a definição de responsabilidades para proteção dos ativos.

Question 40

ISO

Seção 8 - Gestão de ativos

Recomenda-se que se identifique os ativos e que se mantenha um inventário, monitorando todo o ciclo de vida da informação, incluindo criação, processamento, armazenamento, transmissão, exclusão e destruição.

O processo de compilação de um inventário é um pré-requisito importante para gestão de riscos.

Question 41

ISO

Seção 8 - Gestão de ativos

Recomenda que para cada ativo seja designado um responsável pelo ativo e uma classificação do ativo.

Question 42

ISO

Seção 8 - Gestão de ativos

Os ativos podem ser classificados quanto à sua proteção e restrição de acesso.

Question 43

ISO

Seção 8 - Gestão de ativos

Recomenda a definição, documentação e implementação de regras para o uso adequado de informações e dos ativos relacionados com a informação e seu processamento.

Question 44

ISO

Seção 8 - Gestão de ativos

Recomenda que todos os funcionários devolvam todos os ativos da organização após o término do contrato.

Nos casos em que um equipamento não é devolvido, é recomendado que toda a informação relevante seja transferida para organização e então apagada de forma segura.

Question 45

ISO

Seção 8 - Gestão de ativos

Recomenda a documentação de know-how e conhecimento dos funcionários, para que estas informações não sejam perdidas.