Edição 202101 - dam.exin.com

Guia de preparação

Edição 202101

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)

2

Copyright © EXIN Holding B.V. 2021. All rights reserved.

EXIN® is a registered trademark.

No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means, electronic,

mechanical, or otherwise, without the prior written permission from EXIN.


3

Conteúdo

1. Visão geral 4 2. Requisitos do exame 7 3. Lista de conceitos básicos 10 4. Literatura 13


4

1. Visão geral

EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)

Escopo

A EXIN Information Security Foundation based on ISO/IEC 27001 é uma certificação que valida o conhecimento de um profissional sobre:

• Informação e segurança: o conceito, o valor, a importância e a confiabilidade da informação.

• Ameaças e riscos: os conceitos de ameaça e risco e a relação com a confiabilidade da informação.

• Abordagem e organização: a política de segurança e a organização de segurança, incluindo os componentes da organização de segurança e a gestão de incidentes (de segurança).

• Medidas: a importância das medidas de segurança, incluindo as medidas físicas, técnicas e organizacionais.

• Legislação e regulamentações: a importância e o impacto da legislação e das regulamentações.

Resumo

A segurança da informação é a proteção da informação contra uma grande variedade de ameaças, a fim de assegurar a continuidade de negócios, minimizar o risco de negócios e maximizar o retorno sobre o investimento (ROI) e as oportunidades de negócios. A segurança da informação vem ganhando importância no mundo. A globalização da economia conduz a uma troca de informações cada vez maior entre as organizações (seus funcionários, clientes e fornecedores) e a uma explosão no uso de computadores e equipamentos de informática em rede. A norma internacional para gestão de segurança da informação ISO/IEC 27001, amplamente respeitada e citada, fornece uma estrutura para a organização e gestão de um programa de segurança da informação. A implementação de um programa baseado nessa norma será benéfica para uma organização em sua meta de satisfazer muitas das exigências enfrentadas no complexo ambiente operacional atual. Um sólido conhecimento dessa norma é importante para o desenvolvimento pessoal de todos os profissionais de segurança da informação. Nos módulos EXIN Information Security Management, a seguinte definição é utilizada: a segurança da informação lida com a definição, implementação, manutenção, conformidade e avaliação de um conjunto coerente de controles (medidas) que protegem a disponibilidade, integridade e confidencialidade do fornecimento de informações (manuais e automatizadas). A EXIN Information Security Foundation based on ISO/IEC 27001 testa os conceitos básicos da segurança da informação e suas relações. Um dos objetivos deste módulo é conscientizar que a informação é valiosa e vulnerável, e aprender quais são as medidas necessárias para proteger a informação.


5

Contexto

A certificação EXIN Information Security Foundation based on ISO/IEC 27001 faz parte do programa de qualificação EXIN Information Security Management based on ISO/IEC 27001.

Público-alvo

A certificação EXIN Information Security Foundation based on ISO/IEC 27001 se destina a todos que processam informação em uma organização. O módulo é também indicado para donos de pequenas empresas independentes para quem um certo conhecimento básico sobre segurança da informação é necessário. Este módulo é um bom ponto de partida para novos profissionais de segurança da informação.

Requisitos para a certificação

• Conclusão bem sucedida do exame EXIN Information Security Foundation based on ISO/IEC 27001.


6

Detalhes do exame

Tipo do exame: Questões de múltipla escolha Número de questões: 40 Mínimo para aprovação: 65% (26/40 questões) Com consulta: Não Anotações: Não Equipamentos eletrônicos permitidos: Não Tempo designado para o exame: 60 minutos

As Regras e Regulamentos dos exames EXIN aplicam-se a este exame.

Nível Bloom

A certificação EXIN Information Security Foundation based on ISO/IEC 27001 testa os candidatos nos Níveis Bloom 1 e 2 de acordo com a Taxonomia Revisada de Bloom:

• Nível Bloom 1: Lembrança – depende da recuperação de informações. Os candidatos precisarão absorver, lembrar, reconhecer e recordar.

• Nível Bloom 2: Compreensão – um passo além da lembrança. O entendimento mostra que os candidatos compreendem o que é apresentado e podem avaliar como o material de aprendizagem pode ser aplicado em seu próprio ambiente. Este tipo de pergunta pretende demonstrar que o candidato é capaz de organizar, comparar, interpretar e escolher a descrição correta de fatos e ideias.

Treinamento

Horas de contato

A carga horária recomendada para este treinamento é de 14 horas. Isto inclui trabalhos em grupo, preparação para o exame e pausas curtas. Esta carga horária não inclui pausas para almoço, trabalhos extra aula e o exame.

Indicação de tempo de estudo

56 horas (2 ECTS), dependendo do conhecimento pré-existente.

Provedor de treinamento

Você encontrará uma lista de nossos provedores de treinamento credenciados em www.exin.com.

http://www.exin.com/


7

2. Requisitos do exame

Os requisitos do exame são definidos nas especificações do exame. A tabela a seguir lista os tópicos (requisitos do exame) e subtópicos (especificações do exame) do módulo.

Requisitos do exame

Especificações do exame Peso

1. Informação e segurança 15%

1.1 Conceito da informação 5%

1.2 Valor da informação 5%

1.3 Aspectos de confiabilidade 5%

2. Ameaças e riscos 15%

2.1 Ameaças e riscos 15%

3. Abordagem e organização 17,5%

3.1 Política de segurança e organização de segurança 5%

3.2 Componentes 5%

3.3 Gestão de incidentes 7,5%

4. Medidas 42,5%

4.1 Importância das medidas 10%

4.2 Medidas físicas 10%

4.3 Medidas técnicas 10%

4.4 Medidas organizacionais 12,5%

5. Legislação e regulamentações 10%

5.1 Legislação e regulamentações 10%

Total 100%


8

Especificações do exame

1 Informação e segurança 1.1 Conceito da informação O candidato é capaz de… 1.1.1 explicar a diferença entre dados e informação. 1.1.2 explicar o que é gerenciamento da informação. 1.2 Valor da informação O candidato é capaz de… 1.2.1 descrever o valor dos dados e da informação para as organizações. 1.2.2 descrever como o valor dos dados e da informação pode influenciar as

organizações. 1.2.3 explicar como a aplicação dos conceitos de segurança da informação protege

o valor dos dados e da informação. 1.3 Aspectos de confiabilidade O candidato é capaz de… 1.3.1 citar os aspectos de confiabilidade da informação. 1.3.2 descrever os aspectos de confiabilidade da informação. 2 Ameaças e riscos 2.1 Ameaças e riscos O candidato é capaz de… 2.1.1 explicar os conceitos: ameaça, risco e análise de risco. 2.1.2 explicar a relação entre uma ameaça e um risco. 2.1.3 explicar os vários tipos de ameaças. 2.1.4 descrever vários tipos de danos. 2.1.5 descrever várias estratégias de risco. 3 Abordagem e organização 3.1 Política de segurança e organização de segurança O candidato é capaz de… 3.1.1 descrever os objetivos e o conteúdo da política de segurança. 3.1.2 descrever os objetivos e o conteúdo da organização de segurança. 3.2 Componentes O candidato é capaz de… 3.2.1 explicar a importância de um código de conduta. 3.2.2 explicar a importância de propriedade. 3.2.3 citar os cargos mais importantes na organização de segurança. 3.3 Gestão de incidentes O candidato é capaz de…. 3.3.1 resumir como os incidentes de segurança são notificados e que informação é

necessária. 3.3.2 dar exemplos de incidentes de segurança. 3.3.3 explicar as consequências da não se notificar incidentes de segurança. 3.3.4 explicar o que uma escalação implica (funcionalmente e hierarquicamente). 3.3.5 descrever os efeitos da escalação na organização. 3.3.6 explicar o ciclo de vida de um incidente.


9

4 Medidas 4.1 Importância das medidas O candidato é capaz de… 4.1.1 descrever os vários modos de estruturar e organizar as medidas de

segurança. 4.1.2 dar exemplos de cada tipo de medida de segurança. 4.1.3 explicar a relação entre riscos e medidas de segurança. 4.1.4 explicar o objetivo da classificação da informação. 4.1.5 descrever o efeito da classificação. 4.2 Medidas físicas O candidato é capaz de… 4.2.1 dar exemplos de medidas físicas de segurança. 4.2.2 descrever os riscos envolvidos com medidas físicas de segurança

insuficientes. 4.3 Medidas técnicas O candidato é capaz de… 4.3.1 dar exemplos de medidas técnicas de segurança. 4.3.2 descrever os riscos envolvidos com medidas técnicas de segurança

insuficientes. 4.3.3 entender os conceitos: criptografia, assinatura digital e certificado. 4.3.4 citar os vários tipos de malware, phishing e spam. 4.3.5 descrever as medidas que podem ser usadas contra malware, phishing e

spam. 4.4 Medidas organizacionais O candidato é capaz de… 4.4.1 dar exemplos de medidas organizacionais de segurança. 4.4.2 descrever os perigos e riscos envolvidos com medidas organizacionais de

segurança insuficientes. 4.4.3 descrever medidas de segurança de acesso, como segregação de funções e

uso de senhas. 4.4.4 descrever os princípios do gerenciamento de acesso. 4.4.5 descrever os conceitos: identificação, autenticação e autorização. 4.4.6 explicar a importância para uma organização de um gerenciamento da

continuidade de negócios bem estabelecido. 4.4.7 deixar claro a importância de realizar exercícios. 5 Legislação e regulamentações 5.1 Legislação e regulamentações O candidato é capaz de… 5.1.1 explicar por que a legislação e as regulamentações são importantes para a

confiabilidade da informação. 5.1.2 dar exemplos de legislação relacionada à segurança da informação. 5.1.3 dar exemplos de regulamentações relacionadas à segurança da informação. 5.1.4 indicar possíveis medidas que podem ser tomadas para atender aos requisitos

da legislação e das regulamentações.


10

3. Lista de conceitos básicos

Este capítulo contém os termos e abreviaturas com que os candidatos devem se familiarizar. Por favor, note que o conhecimento destes termos de maneira independente não é suficiente para o exame; O candidato deve compreender os conceitos e estar apto a fornecer exemplos.

Inglês Português

access control controle de acesso

annualized loss expectancy (ALE) expectativa de perda anual (ALE)

annualized rate of occurrence (ARO) taxa de ocorrência anual (ARO)

asset ativo

audit auditoria

authentication autenticação

authorization autorização

availability disponibilidade

backup backup (cópia de segurança)

biometrics biometria

business continuity management (BCM) gerenciamento da continuidade de negócios (GCN)

certificate certificado

change management gerenciamento da mudança

classification classificação

clear-desk policy política de mesa limpa

code of conduct código de conduta

compliance conformidade

confidentiality confidencialidade

continuity continuidade

controls medidas

cryptography criptografia

cyber crime crime cibernético

damage danos • direct damage • danos diretos • indirect damage • danos indiretos

data dados

demilitarized zone (DMZ) zona desmilitarizada (DMZ)

digital signature assinatura digital

disaster desastre

disaster recovery plan (DRP) plano de recuperação de desastre (PRD)

encryption criptografia

escalation escalação

exposure factor (EF) fator de exposição

grading nível de classificação

hacker hacker

identification identificação

(business) impact impacto no negócio

incident cycle ciclo de vida de um incidente

incident reporting notificação de incidente

information informação

information analysis análise da informação

information architecture arquitetura da informação

information management gerenciamento da informação


11

information security management system (ISMS)

sistema de gestão de segurança da informação (SGSI)

information security organization organização da segurança da informação

information security policy política de segurança da informação

information system sistema de informação

integrity integridade

intrusion detection system (IDS) sistema de detecção de intrusos (IDS)

key chave

logical access management gerenciamento de acesso lógico

malware malware

(counter)measure (contra)medida • corrective • corretiva • detective • detectiva • insurance • seguro • preventive • preventiva • reductive • redutiva • repressive • repressiva

non-disclosure agreement acordo de confidencialidade

non-repudiation não-repúdio

patch patch

pentest teste de invasão

phishing phishing

priority prioridade

privacy privacidade

Public Key Infrastructure (PKI) infraestrutura de chave pública (ICP)

redundancy redundância

reliability confiabilidade

risk risco

risk analysis análise de risco

• qualitative risk analysis • análise qualitativa de risco

• quantitative risk analysis • análise quantitativa de risco

risk assessment avaliação de riscos

risk management gerenciamento de riscos • risk avoiding/risk avoidance • evitar o risco • risk bearing (risk acceptance) • aceitar o risco • risk neutral • reduzir o risco

risk strategy estratégia de risco

risk treatment tratamento de risco

rootkit rootkit

security incident incidente de segurança

segregation of duties segregação de funções

single loss expectancy (SLE) expectativa de perda por incidente (SLE)

social engineering engenharia social

spam spam

special information informação especial

spyware spyware

threat ameaça • non-human threat • ameaça não humana • human threat • ameaça humana

threat agent agente de ameaça

trojan trojan

uninterruptible power supply (UPS) fornecedor ininterrupto de energia (uninterruptible power supply - UPS)

urgency urgência


12

validation validação

verification verificação

virtual private network (VPN) rede privada virtual (VPN)

virus vírus

vulnerability vulnerabilidade

worm worm


13

4. Literatura

Literatura do exame

O conhecimento necessário para o exame é coberto na seguinte literatura:

A. Hintzbergen, J., Hintzbergen, K., Smulders, A. e Baars, H. Fundamentos de Segurança da Informação: com base na ISO 27001 e ISO 27002 Brasport, 1ª edição, 2018 ISBN 9788574528601

Matriz da literatura

Requisitos do exame

Especificações do exame Referência

1. Informação e segurança

1.1 Conceito da informação Cap. 3 e §4.10

1.2 Valor da informação Cap. 3 e 4

1.3 Aspectos de confiabilidade Cap. 3

2. Ameaças e riscos

2.1 Ameaças e riscos Cap. 3

3. Abordagem e organização

3.1 Política de segurança e organização de segurança

Cap. 3, 5 e 6

3.2 Componentes Cap. 6, 7, 8 e 13

3.3 Gestão de incidentes Cap. 15 e 16

4. Medidas

4.1 Importância das medidas Cap. 3 e 8

4.2 Medidas físicas Cap. 3, 7, 11 e 12

4.3 Medidas técnicas Cap. 3, 6 ,9, 10, 11, 12 e 13

4.4 Medidas organizacionais Cap. 3, 5, 6, 9, 11, 12 e 17

5. Legislação e regulamentações

5.1 Legislação e regulamentações Cap. 18

Contato EXIN

www.exin.com

http://www.exin.com/

Edição 202101 - dam.exin.com

Documents

Transcript of Edição 202101 - dam.exin.com