Guia de preparação Edição 202101
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
2
Copyright © EXIN Holding B.V. 2021. All rights reserved.
EXIN® is a registered trademark.
No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means, electronic,
mechanical, or otherwise, without the prior written permission from EXIN.
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
3
Conteúdo
1. Visão geral 4 2. Requisitos do exame 7 3. Lista de conceitos básicos 10 4. Literatura 13
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
4
1. Visão geral
EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
Escopo
A EXIN Information Security Foundation based on ISO/IEC 27001 é uma certificação que valida o conhecimento de um profissional sobre:
• Informação e segurança: o conceito, o valor, a importância e a confiabilidade da informação.
• Ameaças e riscos: os conceitos de ameaça e risco e a relação com a confiabilidade da informação.
• Abordagem e organização: a política de segurança e a organização de segurança, incluindo os componentes da organização de segurança e a gestão de incidentes (de segurança).
• Medidas: a importância das medidas de segurança, incluindo as medidas físicas, técnicas e organizacionais.
• Legislação e regulamentações: a importância e o impacto da legislação e das regulamentações.
Resumo
A segurança da informação é a proteção da informação contra uma grande variedade de ameaças, a fim de assegurar a continuidade de negócios, minimizar o risco de negócios e maximizar o retorno sobre o investimento (ROI) e as oportunidades de negócios. A segurança da informação vem ganhando importância no mundo. A globalização da economia conduz a uma troca de informações cada vez maior entre as organizações (seus funcionários, clientes e fornecedores) e a uma explosão no uso de computadores e equipamentos de informática em rede. A norma internacional para gestão de segurança da informação ISO/IEC 27001, amplamente respeitada e citada, fornece uma estrutura para a organização e gestão de um programa de segurança da informação. A implementação de um programa baseado nessa norma será benéfica para uma organização em sua meta de satisfazer muitas das exigências enfrentadas no complexo ambiente operacional atual. Um sólido conhecimento dessa norma é importante para o desenvolvimento pessoal de todos os profissionais de segurança da informação. Nos módulos EXIN Information Security Management, a seguinte definição é utilizada: a segurança da informação lida com a definição, implementação, manutenção, conformidade e avaliação de um conjunto coerente de controles (medidas) que protegem a disponibilidade, integridade e confidencialidade do fornecimento de informações (manuais e automatizadas). A EXIN Information Security Foundation based on ISO/IEC 27001 testa os conceitos básicos da segurança da informação e suas relações. Um dos objetivos deste módulo é conscientizar que a informação é valiosa e vulnerável, e aprender quais são as medidas necessárias para proteger a informação.
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
5
Contexto
A certificação EXIN Information Security Foundation based on ISO/IEC 27001 faz parte do programa de qualificação EXIN Information Security Management based on ISO/IEC 27001.
Público-alvo
A certificação EXIN Information Security Foundation based on ISO/IEC 27001 se destina a todos que processam informação em uma organização. O módulo é também indicado para donos de pequenas empresas independentes para quem um certo conhecimento básico sobre segurança da informação é necessário. Este módulo é um bom ponto de partida para novos profissionais de segurança da informação.
Requisitos para a certificação
• Conclusão bem sucedida do exame EXIN Information Security Foundation based on ISO/IEC 27001.
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
6
Detalhes do exame
Tipo do exame: Questões de múltipla escolha Número de questões: 40 Mínimo para aprovação: 65% (26/40 questões) Com consulta: Não Anotações: Não Equipamentos eletrônicos permitidos: Não Tempo designado para o exame: 60 minutos
As Regras e Regulamentos dos exames EXIN aplicam-se a este exame.
Nível Bloom
A certificação EXIN Information Security Foundation based on ISO/IEC 27001 testa os candidatos nos Níveis Bloom 1 e 2 de acordo com a Taxonomia Revisada de Bloom:
• Nível Bloom 1: Lembrança – depende da recuperação de informações. Os candidatos precisarão absorver, lembrar, reconhecer e recordar.
• Nível Bloom 2: Compreensão – um passo além da lembrança. O entendimento mostra que os candidatos compreendem o que é apresentado e podem avaliar como o material de aprendizagem pode ser aplicado em seu próprio ambiente. Este tipo de pergunta pretende demonstrar que o candidato é capaz de organizar, comparar, interpretar e escolher a descrição correta de fatos e ideias.
Treinamento
Horas de contato
A carga horária recomendada para este treinamento é de 14 horas. Isto inclui trabalhos em grupo, preparação para o exame e pausas curtas. Esta carga horária não inclui pausas para almoço, trabalhos extra aula e o exame.
Indicação de tempo de estudo
56 horas (2 ECTS), dependendo do conhecimento pré-existente.
Provedor de treinamento
Você encontrará uma lista de nossos provedores de treinamento credenciados em www.exin.com.
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
7
2. Requisitos do exame
Os requisitos do exame são definidos nas especificações do exame. A tabela a seguir lista os tópicos (requisitos do exame) e subtópicos (especificações do exame) do módulo.
Requisitos do exame
Especificações do exame Peso
1. Informação e segurança 15%
1.1 Conceito da informação 5%
1.2 Valor da informação 5%
1.3 Aspectos de confiabilidade 5%
2. Ameaças e riscos 15%
2.1 Ameaças e riscos 15%
3. Abordagem e organização 17,5%
3.1 Política de segurança e organização de segurança 5%
3.2 Componentes 5%
3.3 Gestão de incidentes 7,5%
4. Medidas 42,5%
4.1 Importância das medidas 10%
4.2 Medidas físicas 10%
4.3 Medidas técnicas 10%
4.4 Medidas organizacionais 12,5%
5. Legislação e regulamentações 10%
5.1 Legislação e regulamentações 10%
Total 100%
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
8
Especificações do exame
1 Informação e segurança 1.1 Conceito da informação O candidato é capaz de… 1.1.1 explicar a diferença entre dados e informação. 1.1.2 explicar o que é gerenciamento da informação. 1.2 Valor da informação O candidato é capaz de… 1.2.1 descrever o valor dos dados e da informação para as organizações. 1.2.2 descrever como o valor dos dados e da informação pode influenciar as
organizações. 1.2.3 explicar como a aplicação dos conceitos de segurança da informação protege
o valor dos dados e da informação. 1.3 Aspectos de confiabilidade O candidato é capaz de… 1.3.1 citar os aspectos de confiabilidade da informação. 1.3.2 descrever os aspectos de confiabilidade da informação. 2 Ameaças e riscos 2.1 Ameaças e riscos O candidato é capaz de… 2.1.1 explicar os conceitos: ameaça, risco e análise de risco. 2.1.2 explicar a relação entre uma ameaça e um risco. 2.1.3 explicar os vários tipos de ameaças. 2.1.4 descrever vários tipos de danos. 2.1.5 descrever várias estratégias de risco. 3 Abordagem e organização 3.1 Política de segurança e organização de segurança O candidato é capaz de… 3.1.1 descrever os objetivos e o conteúdo da política de segurança. 3.1.2 descrever os objetivos e o conteúdo da organização de segurança. 3.2 Componentes O candidato é capaz de… 3.2.1 explicar a importância de um código de conduta. 3.2.2 explicar a importância de propriedade. 3.2.3 citar os cargos mais importantes na organização de segurança. 3.3 Gestão de incidentes O candidato é capaz de…. 3.3.1 resumir como os incidentes de segurança são notificados e que informação é
necessária. 3.3.2 dar exemplos de incidentes de segurança. 3.3.3 explicar as consequências da não se notificar incidentes de segurança. 3.3.4 explicar o que uma escalação implica (funcionalmente e hierarquicamente). 3.3.5 descrever os efeitos da escalação na organização. 3.3.6 explicar o ciclo de vida de um incidente.
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
9
4 Medidas 4.1 Importância das medidas O candidato é capaz de… 4.1.1 descrever os vários modos de estruturar e organizar as medidas de
segurança. 4.1.2 dar exemplos de cada tipo de medida de segurança. 4.1.3 explicar a relação entre riscos e medidas de segurança. 4.1.4 explicar o objetivo da classificação da informação. 4.1.5 descrever o efeito da classificação. 4.2 Medidas físicas O candidato é capaz de… 4.2.1 dar exemplos de medidas físicas de segurança. 4.2.2 descrever os riscos envolvidos com medidas físicas de segurança
insuficientes. 4.3 Medidas técnicas O candidato é capaz de… 4.3.1 dar exemplos de medidas técnicas de segurança. 4.3.2 descrever os riscos envolvidos com medidas técnicas de segurança
insuficientes. 4.3.3 entender os conceitos: criptografia, assinatura digital e certificado. 4.3.4 citar os vários tipos de malware, phishing e spam. 4.3.5 descrever as medidas que podem ser usadas contra malware, phishing e
spam. 4.4 Medidas organizacionais O candidato é capaz de… 4.4.1 dar exemplos de medidas organizacionais de segurança. 4.4.2 descrever os perigos e riscos envolvidos com medidas organizacionais de
segurança insuficientes. 4.4.3 descrever medidas de segurança de acesso, como segregação de funções e
uso de senhas. 4.4.4 descrever os princípios do gerenciamento de acesso. 4.4.5 descrever os conceitos: identificação, autenticação e autorização. 4.4.6 explicar a importância para uma organização de um gerenciamento da
continuidade de negócios bem estabelecido. 4.4.7 deixar claro a importância de realizar exercícios. 5 Legislação e regulamentações 5.1 Legislação e regulamentações O candidato é capaz de… 5.1.1 explicar por que a legislação e as regulamentações são importantes para a
confiabilidade da informação. 5.1.2 dar exemplos de legislação relacionada à segurança da informação. 5.1.3 dar exemplos de regulamentações relacionadas à segurança da informação. 5.1.4 indicar possíveis medidas que podem ser tomadas para atender aos requisitos
da legislação e das regulamentações.
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
10
3. Lista de conceitos básicos
Este capítulo contém os termos e abreviaturas com que os candidatos devem se familiarizar. Por favor, note que o conhecimento destes termos de maneira independente não é suficiente para o exame; O candidato deve compreender os conceitos e estar apto a fornecer exemplos.
Inglês Português
access control controle de acesso
annualized loss expectancy (ALE) expectativa de perda anual (ALE)
annualized rate of occurrence (ARO) taxa de ocorrência anual (ARO)
asset ativo
audit auditoria
authentication autenticação
authorization autorização
availability disponibilidade
backup backup (cópia de segurança)
biometrics biometria
business continuity management (BCM) gerenciamento da continuidade de negócios (GCN)
certificate certificado
change management gerenciamento da mudança
classification classificação
clear-desk policy política de mesa limpa
code of conduct código de conduta
compliance conformidade
confidentiality confidencialidade
continuity continuidade
controls medidas
cryptography criptografia
cyber crime crime cibernético
damage danos • direct damage • danos diretos • indirect damage • danos indiretos
data dados
demilitarized zone (DMZ) zona desmilitarizada (DMZ)
digital signature assinatura digital
disaster desastre
disaster recovery plan (DRP) plano de recuperação de desastre (PRD)
encryption criptografia
escalation escalação
exposure factor (EF) fator de exposição
grading nível de classificação
hacker hacker
identification identificação
(business) impact impacto no negócio
incident cycle ciclo de vida de um incidente
incident reporting notificação de incidente
information informação
information analysis análise da informação
information architecture arquitetura da informação
information management gerenciamento da informação
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
11
information security management system (ISMS)
sistema de gestão de segurança da informação (SGSI)
information security organization organização da segurança da informação
information security policy política de segurança da informação
information system sistema de informação
integrity integridade
intrusion detection system (IDS) sistema de detecção de intrusos (IDS)
key chave
logical access management gerenciamento de acesso lógico
malware malware
(counter)measure (contra)medida • corrective • corretiva • detective • detectiva • insurance • seguro • preventive • preventiva • reductive • redutiva • repressive • repressiva
non-disclosure agreement acordo de confidencialidade
non-repudiation não-repúdio
patch patch
pentest teste de invasão
phishing phishing
priority prioridade
privacy privacidade
Public Key Infrastructure (PKI) infraestrutura de chave pública (ICP)
redundancy redundância
reliability confiabilidade
risk risco
risk analysis análise de risco
• qualitative risk analysis • análise qualitativa de risco
• quantitative risk analysis • análise quantitativa de risco
risk assessment avaliação de riscos
risk management gerenciamento de riscos • risk avoiding/risk avoidance • evitar o risco • risk bearing (risk acceptance) • aceitar o risco • risk neutral • reduzir o risco
risk strategy estratégia de risco
risk treatment tratamento de risco
rootkit rootkit
security incident incidente de segurança
segregation of duties segregação de funções
single loss expectancy (SLE) expectativa de perda por incidente (SLE)
social engineering engenharia social
spam spam
special information informação especial
spyware spyware
threat ameaça • non-human threat • ameaça não humana • human threat • ameaça humana
threat agent agente de ameaça
trojan trojan
uninterruptible power supply (UPS) fornecedor ininterrupto de energia (uninterruptible power supply - UPS)
urgency urgência
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
12
validation validação
verification verificação
virtual private network (VPN) rede privada virtual (VPN)
virus vírus
vulnerability vulnerabilidade
worm worm
Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)
13
4. Literatura
Literatura do exame
O conhecimento necessário para o exame é coberto na seguinte literatura:
A. Hintzbergen, J., Hintzbergen, K., Smulders, A. e Baars, H. Fundamentos de Segurança da Informação: com base na ISO 27001 e ISO 27002 Brasport, 1ª edição, 2018 ISBN 9788574528601
Matriz da literatura
Requisitos do exame
Especificações do exame Referência
1. Informação e segurança
1.1 Conceito da informação Cap. 3 e §4.10
1.2 Valor da informação Cap. 3 e 4
1.3 Aspectos de confiabilidade Cap. 3
2. Ameaças e riscos
2.1 Ameaças e riscos Cap. 3
3. Abordagem e organização
3.1 Política de segurança e organização de segurança
Cap. 3, 5 e 6
3.2 Componentes Cap. 6, 7, 8 e 13
3.3 Gestão de incidentes Cap. 15 e 16
4. Medidas
4.1 Importância das medidas Cap. 3 e 8
4.2 Medidas físicas Cap. 3, 7, 11 e 12
4.3 Medidas técnicas Cap. 3, 6 ,9, 10, 11, 12 e 13
4.4 Medidas organizacionais Cap. 3, 5, 6, 9, 11, 12 e 17
5. Legislação e regulamentações
5.1 Legislação e regulamentações Cap. 18