Norma de Segurança da Informação

Slides:



Advertisements
Apresentações semelhantes
Norma de Segurança da Informação
Advertisements

S&OP - Sales and Operations Planning – Planejamento de operações e vendas. Prof.Luciel Oliveira
Controles Internos e Gestão de Riscos para Seguradoras.
SIMULADOR WEB DO MERCADO DE COMPRA E VENDA DE AÇÕES NA BOLSA DE VALORES Luiz Alberto Fiamoncini Gui Orientador: Maurício Capobianco Lopes.
Segurança da Informação. Conteúdo Programático Parte 1: A Informação Parte 2: Conceitos.
Sistema Web para Gerenciamento SNMP de Impressão Terceirizada da FURB Rodrigo Antonio Müller Orientador: Francisco Adell Péricas.
“REDES DE COMUNICAÇÃO”. INTEGRANTES: Alexandre Marques Leandro Novais Leiza Costa Marcos Heleno Polyane Stéfane.
RUP (R ATIONAL U NIFIED P ROCESS ) GERENCIAMENTO DE CONFIGURAÇÃO E SOLICITAÇÃO DE MUDANÇAS Análise de Sistema ll Prof° Andrea Padovan Ademir Kaique Claudio.
Disciplina: Gerenciamento e Desenvolvimento em Banco de Dados Professora: Chaiene Minella, MSc
ITIL (Information Technology Infrastructure Library) Profª Cynara Carvalho.
SOFTWARE DE GERENCIAMENTO DE LIBERAÇÃO E ATUALIZAÇÃO DE VERSÃO EDUARDO SIEMANN ORIENTADOR: JHONY ALCEU PEREIRA.
GESTÃO DE PROJETOS. 2. Guia PMBOK ® 2.1. Guia PMBOK ®. Histórico. Processo Elaboração e Revisões. Conteúdo e Estruturação (Áreas de conhecimento, Processos.
MARKETING MANAGEMENT Gestão Eficiente de Contratos de Marketing MARKETING MANAGEMENT Gestão Eficiente de Contratos de Marketing.
Implantando um ERP com sucesso Sistemas de Gestão Integrada - ERP Juliana Maria Lopes Alexandre Moya João Roberto Magazoni 27LI – Julho 2005.
Sistemas de Gestão da Qualidade Os sistemas de gestão da qualidade (SGQ) tem o objetivo de verificar todos os processos da empresa e como esses processos.
Sistemas de Gestão Integrados (SIGs). Definindo o SGI Combinação do processo de gerenciamento da qualidade e do meio ambiente integrada com a gestão da.
Faculdade de Tecnologia SENAC Pelotas
FATEC – Americana Diagnóstico e solução de problemas em TI
Softwares Ecalc Entenda, de um modo geral, como nossos
Tecnologias Para Defesa
Sistemas de Gestão Ambiental Principais Alterações
Tecnologia da informação e comunicação
Channel no Tribunal de Contas do Tocantins Osmarina Rodrigues Andrade
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
Prof. Adilson de Oliveira
Disciplina: Sistemas de Informação
ITIL - Information Technology Infrastructure Library
Projeto de Redes 4º Semestre Aula 2 Prof
Introdução a Gestão de Projetos de TI
SANASA em números Índice de cobertura: Sede Administrativa
Elementos chaves/ Aplicação:
Controladoria Financeira
ESTRUTURAÇÃO DOS SUBSISTEMAS DERECURSOS HUMANOS
BIBLIOTECA ITIL V3 Uma fonte de boas práticas no Gerenciamento de Serviço; Padrão de mercado Guia de boas práticas aplicável a todos os tipos de Organizações.
AUDITORIA.
Orientanda: Ana Paula Joslin de Oliveira
Occupational health and safety - “Saúde e segurança Ocupacional”
Planejamento.
Aulas 2 - Objetivo desta Aula: Gestão de TI
Orientador: Francisco Adell Péricas
Gerência de Projetos 4º Semestre Aula 3 Prof
Control Objectives for Information and related Technology – COBIT 5
Universidade Católica de Moçambique
O formulário é um importante meio de comunicação, transmissão e registro de informações, principalmente as baseadas em dados quantitativos. Formulários.
Fatores e Métricas de Qualidade
Sistema de Gestão da Qualidade Laboratorial e Biossegurança
1. PÓS-GRADUAÇÃO MANAUS, 2017/2 2 GESTÃO COMERCIAL E MKT DE NEGÓCIOS GESTÃO DE PROJETOS E PLANEJAMENTO DE EQUIPES Trabalho apresentado como requisito.
Gerenciamento de crises
12 TERCEIRIZAÇÃO DE SERVIÇOS DE TI
Classificação de Materiais.
Revisão Requisitos e Casos de Uso
Políticas de Segurança em Pequenas e Grandes Empresas
UNIVERSIDADE REGIONAL DE BLUMENAU
Secretaria Nacional de Defesa Civil SISTEMA DE COMANDO EM OPERAÇÕES SCO Secretaria Nacional de Defesa Civil.
Tecnologia da Informação Visão Geral sobre Informática
OS SERVIÇOS COMO ATIVIDADES INTERNAS DE APOIO EM UMA EMPRESA
IF987 – Auditoria e Segurança de Sistemas de Informação
DONO DO PROCESSO Um Papel responsável por garantir que um processo seja adequado para seu propósito . As responsabilidades incluem: patrocínio; desenho;
TECNOLOGIA DA INFORMAÇÃO
Auditoria e Segurança de Sistemas – Cód
Trabalho de Conclusão de Curso I
Apólice para Gestão de Riscos Cibernéticos
Gestão da Qualidade A Gestão da Qualidade como estratégia competitiva.
AUDITORIA DE SISTEMAS WANDERSON OLIVEIRA SERVIO TÚLIO DISCIPLINA: SEGURANÇA DA INFORMAÇÃO.
1 Logística Integrada Prof. Msc. Bruno Silva Olher.
A Importância da Segurança de Endpoints Jymmy Barreto Mestre pelo Centro de Informática - UFPE.
SISTEMAS DISTRIBUIDOS
Tratamento de Não Conformidade Necessidade ou expectativa que é expressa, geralmente, de forma implícita ou obrigatória. Requisito.
CAPÍTULO 10 Segurança.
Apólice para Gestão de Riscos Cibernéticos
Transcrição da apresentação:

Norma de Segurança da Informação ISO/IEC 17799 Norma de Segurança da Informação @fafanete com adaptações 16/03/2016 Prof. Francisco Aparecido da Silva

“Em um mundo onde existe uma riqueza de informação, existe freqüentemente uma pobreza de atenção.” Ken Mehlman

Segurança da Informação

Nenhuma corrente é mais forte que seu elo mais fraco

Mas a informação é segura?

Cenário Segurança Física Mariana e distrito de Bento Rodrigues, perde sua memória após acidente com barragem.

Cenário Tecnologia da Informação Vírus Acesso não autorizado Dos Furto de informações proprietárias Invasão, fraudes Espionagem sobr as redes, entre outras

Cenário Tecnologia da Informação

Cenário Tecnologia da Informação

Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra vários tipos de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de investimentos. o conceito não está restrito somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. Se aplica a todos os aspectos de proteção de informações, através de políticas, processos, procedimentos organizacionais e funções de sw e hw, que precisam ser estabelecidos, implementados, monitorados e analisados criticamente e melhorados

Exemplo Crise na Bolsa de Tóquio, 8 de Janeiro de 2006, derruba mercados europeu: Queda acentuada da bolsa; Alto volume de transações; Sistema próximo a atingir sua capacidade máxima (estrutura tecnológica); Fechamento das operações 20 minutos mais cedo. Inúmeros prejuízos. a segunda maior do mundo em valor de capitalização, depois de Nova York 11

A tríade “CIA” Confidencialidade: a garantia de que a informação só pode ser acessada e manipulada por pessoas autorizadas, ou seja, ela é restrita a um conjunto de entidades, que podem ser seres humanos ou podem ser um sistema eletrônico. Integridade: implica que toda vez que uma informação é manipulada ela está consistente, ou seja, que não foi alterada ou adulterada por um acesso legal ou ilegal.

A tríade “CIA” Disponibilidade das Informações Críticas: garantia de que uma informação sempre poderá ser acessada, pelas pessoas e processos autorizados, independentemente do momento em que ela é requisitada e do local no qual está armazenada. *as ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas três características principais.

NORMA ISO/IEC 17799 Compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas de qualquer porte ou setor, permite ajuste às necessidades. Padrão flexível, nunca guiando seus usuários a seguirem uma solução de segurança específica em detrimento de outra, confirma a tese, segurança é conceito, não produto. Neutra com relação à tecnologia. Qual o objetivo da norma: A flexibilidade e imprecisão da ISO 17799 são intencionais, pois é muito difícil criar um padrão que funcione para todos os diversos ambientes de TI. 14

Histórico Em 1987 o departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações, o CCSC (Commercial Computer Security Centre). Tarefa de criar uma norma de segurança das informações para o Reino Unido. Desde 1989 vários documentos preliminares foram publicados por esse centro, até que, em 1995, surgiu a BS7799 (British Standart 7799). Esse documento foi disponibilizado em duas partes para consulta pública, a 1ª em 1995 e a 2ª em 1998. 15

Histórico Em 1 de dezembro de 2000, após incorporar diversas sugestões e alterações, a BS7799 ganhou status internacional com sua publicação na forma da ISO/IEC 17799:2000. Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada NBR ISO/IEC 17799. Em 24 de abril de 2003 foi realizado um encontro em Quebec, no qual uma nova versão da norma revisada foi preparada. Essa nova versão da ISO/IEC 17799 foi lançada 2005. A versão brasileira da vinha sendo utilizada por vários outros países, como é o caso de Portugal e Angola. 16

NBR ISO/ IEC 17799:2005 Tecnologia de Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação (http://www.e- services.com.br/portal/artigos/nbriso17799r1.pdf) Possui onze seções de controle (macro-controles). Cada um destes controles é subdividido em vários outros controles (a norma possui um total de 137 controles de segurança).

1. Política de Segurança da Informação Documento que define parâmetros para gestão da Segurança da Informação; Padrões a serem seguidos e ações a serem tomadas; Descreve processos relativos à segurança; Descreve responsabilidades sobre os processos; Deve ser apoiado pela gerência; Deve ser abordado em treinamentos;

2. Segurança da Organização Infra-estrutura de Segurança da Informação: Define a infra-estrutura para gerência da segurança da informação; As responsabilidades e as regras devem estar claramente definidas; Um gestor para cada ativo do ambiente; Inclusão de novos recursos feita sob autorização de um responsável; Consultor interno ou externo disponível para atuar em suspeitas de incidentes de segurança.

2. Segurança da Organização Segurança de acesso a terceiros: Controle de acesso à locais críticos; Tipo do controle definindo conforme riscos e valor da informação; Presença de terceiros mediante autorização e acompanhamento; Serviços terceirizados regulamentados por contrato;

2. Segurança da Organização Terceirização: Acordo contratual, flexível para suportar alterações nos procedimentos;

3. Controle e Classificação de Ativos Contabilização dos ativos: Mapeia todos os ativos da informação e atribui responsáveis; Associa ativos com níveis de segurança; Classificação da Informação: Define a importância de um ativo; Definição pode variar com o tempo;

4. Segurança em Pessoas Segurança na definição e nos recursos de trabalho: Diminuição dos riscos provenientes da atividade humana, como roubo de informações; Contratos devem abordar questões de sigilo e segurança; Treinamento dos usuários: Capacitar para o bom funcionamento das políticas de segurança;

4. Segurança em Pessoas Respondendo aos incidentes de segurança e mau- funcionamento: Diminuição de danos causados por falhas; Sistema de comunicação de incidentes; Aprendizado armazenado em bases de conhecimento (wiki, dokuwiki);

5. Segurança Física e do Ambiente Áreas de segurança: Controle de acesso à áreas restritas; Nível de proteção proporcional aos riscos e importância; Podem ser utilizados mecanismos de autenticação e vigilância (câmeras); Equipamentos de segurança: Proteção física dos equipamentos contra ameaças do ambiente (rede elétrica, contato com substâncias); Proteção do cabeamento de rede; Controles gerais: Diminuem o vazamento de informações; Política “Tela limpa, mesa limpa”. O acesso é negado às informações sendo trabalhadas no momento;

Governança da Segurança da Informação As decisões a respeito da segurança da informação não são discutidas a nível estratégico; A falta de investimento em segurança pode trazer problemas ao planejamento estratégico da organização; (BALBO 2007) propõe a criação de um modelo baseado em ISO/IEC 17799, ITIL e COBIT;

6. Gestão das comunicações e das operações Visa disponilizar mecanismos para o controle da troca de informações dentro e fora da organização. Planejamento e Aceitação dos Sistemas Proteção contra softwares maliciosos Gerência de Rede Segurança e Manuseio de Mídias Housekeeping (qualidade, produtividade, agilidade) Troca de Informações e Softwares Procedimentos e Responsabilidades Operacionais

7. Controle de acesso Este controle visa evitar problemas de seguranças decorrentes do acesso lógico indevido a informação não privilegiada por parte de certos usuários. Requisitos do negócio para controle de acesso Gerência de acesso dos usuários Responsabilidade dos usuários Controle de Acesso ao Sistema Operacional (root, admin, etc) Controle de Acesso às aplicações Computação móvel e trabalho remoto Notificação do uso e acesso ao sistema Controle de Acesso à rede

8. Manutenção e desenvolvimento de Sistemas Fornece critérios para o desenvolvimento de sistemas confiáveis. A segurança deve ser abordada desde a fase de modelagem do sistema, inserindo-se os controles de segurança na fase de iniciação de projetos. Objetiva evitar que aplicações comprometam a integridade e confidencialidade dos dados, através da validação da entrada e saída de dados e de verificações periódicas sobre os dados. Deve-se garantir a integridade de arquivos associados a aplicações, controlando-se o acesso aos dados armazenados, deve-se também fornecer um sistema de controle de alterações e atualizações de arquivos. Boas práticas, uso de base teste, usuários chave, metodologia e validação.

9. Gestão da continuidade dos negócios A gestão da continuidade dos negócios tem por objetivo evitar interrupções nas atividades do negócio e proteger processos críticos do negócio contra os efeitos de grandes falhas ou desastres.

10. Conformidade Trata aspectos legais ligados a segurança. Objetiva evitar infração de qualquer lei civil e criminal, estatutária, regulamentadora ou de obrigações contratuais e de quaisquer requisitos de segurança. Visa a garantia de que a política e as normas de segurança são seguidas Garantir que processos de auditoria existam e sejam planejados e testados.

Checklist ISO 17799 Elaborado pelo instituto americano SANS (System Administration, Networking and Security Institute) –mais de 156 mil profissionais de segurança, auditores, administradores de sistemas e redes. Direcionado aos profissionais de TI e Segurança da Informação que necessitam auditar o nível de segurança de suas empresas. http://www.sans.org/score/checklists/ISO_17799_checklist.pdf Versão não-oficial em PT: http://www.linuxsecurity.com.br/info/general/iso17799.checklist.pt- BR.pdf

Considerações Finais A segurança da informação está relacionada com o faturamento de uma empresa, sua imagem e sua reputação. As conseqüências de incidentes de segurança podem ser desastrosas, mas podem ser evitadas. A ISO17799 cobre os mais diversos tópicos da área de segurança, possuindo um grande número de controles e requerimentos que devem ser atendidos para garantir a segurança das informações de uma empresa.

Considerações Finais A norma é intencionalmente flexível e genérica. O processo de implantação da Norma de Segurança a um determinado ambiente não é simples e envolve muitos passos. a ISO17799 pode ser considerada a norma mais importante para a gestão da segurança da informação que já foi elaborada – ela estabelece uma linguagem internacional comum para todas as organizações do mundo. Deverá se tornar uma ferramenta essencial para empresas de qualquer tipo ou tamanho.

Referências Bibliográficas ABNT NET. Associação Brasileira de Normas Técnicas. Disponível em: http://www.abntnet.com.br/. ABNT NBR ISO/IEC 17799. Segunda Edição. Disponível em: http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-da-Informacao- Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-da-Seguranca-da-Informacao. IDG Now!. Bolsa de Tóquio fecha mais cedo por pane em TI. Disponível em: http://idgnow.uol.com.br/mercado/2006/01/18/idgnoticia.2006-02-06.6752227625/. InformaBR. Segurança: 27 questões freqüentemente formuladas sobre as normas BS e ISO17799. Disponível em: http://www.informabr.com.br/nbr.htm. ISO 17799 World. Disponível em: http://17799.macassistant.com/ Módulo. 10ª Pesquisa Nacional de Segurança da Informação. 2006. OLIVEIRA BALDO, Luciano de. Uma Abordagem Correlacional dos Modelos CobiT/ ITIL e da Norma ISO 17799 para o tema Segurança da Informação . São Paulo 2007. Modelo http://www.sefaz.mt.gov.br/portal/download/arquivos/Boas_Praticas_de_Seguranca_da_Info rmacao.pdf

Referências Bibliográficas ABNT/CB-21 - Comitê Brasileiro de Computadores e Proce ssamento de Dados Informação [NBR ISO/IEC-1779:2001]. 2001. Disponível em: http://www.e-services.com.br/portal/artigos/nbriso17799r1.pdf GORISSEN, MAXIMILIAN. Política de Segurança da Informação: A norma ISO 17799. ISO 17799: Information and Resource Portal. Disponível em: http://17799.denialinfo.com/. JUNIOR, A. F. NOVA NORMA GARANTE SEGURANÇA DA INFORMAÇÃO. Disponível em: http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm. The A-Z Guide for ISO 27001 and ISO 17799/ ISO 27002. Disponível em: http://www.17799central.com/. VETTER, Fausto; REINERDT, Jonatas Davson. ISO/IEC 17799: Norma de Segurança da Informação. Florianópolis 2007. WIKIPÉDIA. Segurança da Informação. Disponível em: http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o.

Referências Bibliográficas Hackers publicam fotomontagem de Dilma em site do Governo de MT disponivel em http://www1.folha.uol.com.br/poder/2011/06/934913-hackers-publicam-fotomontagem- de-dilma-em-site-do-governo-de-mt.shtml

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.