Normas para Segurança da Informação

Slides:



Advertisements
Apresentações semelhantes
Normas de Segurança da Informação
Advertisements

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Análise e Projeto de Sistemas III
Agência Nacional de Vigilância Sanitária 1 NBR ISO/IEC NBR ISO/IEC NBR ISO/IEC NBR ISO/IEC NBR ISO/IEC
Agência Nacional de Vigilância Sanitária Organização NBR ISO/IEC 17025: INMETRO NIT DICLA 083:
Segurança e Auditoria de Sistemas Normas de Segurança
S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica
Administração e segurança de redes
Administração e segurança de redes
ISO Processos do Ciclo de Vida do Software
SISTEMAS DE GESTÃO AMBIENTAL (SGA).
NORMA NBR ISO OBJETIVO Esta norma - NBR fornece princípios e orientações para a empresa implementar um processo eficaz e eficiente de tratamento.
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
Sistemas de Gestão Integrada
Criptografia e Segurança em Rede Capítulo 1
Código de Prática para a Gestão de Segurança de Informação.
Control Objectives for Information and related Technology
Gerência de Redes Áreas Funcionais de Gerenciamento
Boas Práticas Clínicas Monitoramento do Estudo
Formação Técnica em Administração Modulo de Padronização e Qualidade
Capítulo 4 Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Segurança Conceitos de Ataques Mauro Mendes.
Intrudução Normas Mardoqueu de Lima n°05 3H15 Seções de controle.
Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002)
Palestra Administradores de Segurança – Módulo Órgãos e Entidades –
Segurança da Informação
Universidade São Marcos Curso: Gestão de Negócios Internacionais
Política de Segurança O que é Política de Segurança da Informação?
Sistemas Distribuídos
Segurança e auditoria de sistemas
Integrantes Gisely C. Oliveira Marcelo C. Ribeiro Maria Ap. Ferreira Rafael Vaz Walisson Junior Wesley C. Gomes.
Normas ISO/IEC de Segurança da Informação
Auditoria e Segurança da Informação
Segurança da Informação
Fabíola Guerra Nakamura Vitor Alcântara Batista
Prof. Alexandre Vasconcelos
GENICES SISTEMA DE ROTULAGEM AMBIENTAL COORDENADO INTERNACIONALMENTE Guy Ladvocat – Fevereiro de 2010.
Boas práticas para Segurança da Informação
CURSO TÉCNICO EM SEGURANÇA DO TRABALHO
Centro de instrução Almirante Wandenkolk
MÉTODOS E FERRAMENTAS PARA AUMENTO DA CONFIABILIDADE
Agência Nacional de Vigilância Sanitária SISTEMA DA QUALIDADE SISTEMA DA QUALIDADE NBR ISO/IEC – 4.2 SISTEMA DA QUALIDADE SEGUNDO.
EQUIPAMENTOS NBR ISO/IEC – 5.5
CERTIFICADO DE ATRIBUTOS
UNIDADE DE NEGÓCIO Pode-se definir unidade de negócios como unidade organizacional, com definição de autoridade sobre processos e responsabilidade sobre.
4 – Políticas de Segurança
Agência Nacional de Vigilância Sanitária Amostragem NBR ISO/IEC 17025: INMETRO NIT DICLA 083:
Segurança e Auditoria de Sistemas
Políticas de Segurança
Agência Nacional de Vigilância Sanitária SISTEMA DA QUALIDADE SEGUNDO A NBR ISO/IEC AQUISIÇÃO DE SERVIÇOS E SUPRIMENTOS NBR ISO/IEC.
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
INCIDENTE DE SEGURANÇA Corresponde a quaquer evento adverso relacionado á segurança; Por exemplo: Ataques de Negação de Serviços(Denial of Service - DoS);
P E S S O A L SISTEMA DA QUALIDADE SEGUNDO A NBR ISO/IEC 17025
Sistema de Gestão de Segurança da Informação
Instrutor: Objetivos do Workshop:.
Segurança da Informação e seus Critérios
POLITICAS DE SEGURANÇA
SISTEMA DE GESTÃO AMBIENTAL - SGA DISCIPLINA: GESTÃO AMBIENTAL PROFª Drª Cláudia Rech – junho O QUE É ? ABNT NBR ISO 14001:2004 “Parte do sistema.
Certificação e Auditoria
1 4 – Nova Norma ISO 9000 Versão 2000 Em uma economia cada vez mais globalizada, caracterizada pela acirrada competitividade e por um ambiente altamente.
O QUE MUDOU COM A NOVA ISO 9001:2000
MVP Virtual Conference 2013 Desktop Seguro Luciano Lima CISSP / MVP Enterprise
Gustavo e Thiago – 3H15 Técnicas de Defesa AgendaTécnicasClassificaçãoDadosConclusão Agenda -Técnicas; -Classificações; -Dados/gráficos; -Conclusão.
CONTROLE DE ACESSO Requisitos de cada aplicação Identificação de todas as informações Políticas de disseminação e autorização de informações - Saber apenas.
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
ISO9001:2000 para Software Professor: Alexandre Vasconcelos Equipe: Amanda Pimentel Börje Karlsson Danielly Karine Erika Pessoa Jorge Cavalcanti Jose Edson.
Introdução – ISO Conceitos relacionados a Norma NBR ISO/IEC 12207; Procedimentos de ciclo de vida e desenvolvimento de software; Objetivos e a estrutura.
DIRETRIZES PARA O DESENVOLVIMENTO DE MANUAIS DA QUALIDADE
Mestrado Profissional em Gestão da Qualidade Total MP 255 Sistemas de Informação e Sistemas da Qualidade UNICAMP – FEM Mestrado Profissional em.
Transcrição da apresentação:

Normas para Segurança da Informação Carlos Sampaio

Normas para Segurança da Informação BS 7799 ISO/IEC 17799 NBR 17799

Norma BS 7799: duas partes (BS = British Standard) BS-7799-1:2000 – Primeira parte Publicada em 1995 pela primeira vez Versão atual de 2000 Código de prática para a gestão da segurança da informação Objetivo da organização: conformidade BS-7799-2:2002 – Segunda parte Publicada em 1998 pela primeira vez Versão atual de 2002 Especificação de sistemas de gerenciamento de segurança da informação (ISMS – information security management system) Objetivo da organização: certificação

Norma ISO/IEC 17799 Internacionalização da norma BS 7799 ISO/IEC 17799:2000, substitui a norma britânica Inclui 127 controles e 36 objetivos de controle agrupados em 10 áreas de controle Controles baseados na experiência das organizações e melhores práticas Atualmente está sendo atualizado ISO/IEC 17799:2005: disponível maio/junho 2005 Várias modificações gerais e específicas http://www.aexis.de/17799CT.htm

Norma NBR 17799 NBR ISO/IEC 17799 Versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001 Tradução literal da norma ISO www.abnt.org.br No Brasil, deve-se usar a norma brasileira Em outros países, recomenda-se verificar se existe uma norma local Detalhe importante: Deve-se pagar pelas normas 

Áreas (cláusulas de controle) Política de segurança Conformidade Segurança organizacional Gestão da continuidade do negócio Classificação e controle de ativos Integridade Confidencia- lidade Informação Desenvolvimento e manutanção de sistemas Segurança pessoal Disponibili- dade Controle de acesso Segurança física e ambiental Gestão das operações e comunicações

Áreas (cláusulas de controle) Aspecto Organizacional Técnico Físico Organizacional Política de Segurança Segurança Organizacional Classificação e Controle de Ativos Controle de Acesso Conformidade Operacional Segurança Física e Ambiental Segurança Pessoal Desenvolvimento e Manutenção de Sistemas Gestão das Operações e Comunicações Gestão da Continuidade do negócio

Adoção das Normas Conformidade Certificação Com a norma ISO/IEC 17799:2000/2005 Certificação Com a norma BS 7799-2:2002 A Partir de Fevereiro de 2006 Certificação pela ISO27001

Vantagens das Normas Conformidade com regras dos governos para o gerenciamento de riscos COBIT / Sarbanes-Oxley Maior proteção das informações confidenciais da organização Redução no risco de ataques de hackers Recuperação de ataques mais fácil e rápidas

Vantagens das Normas Metodologia estruturada de segurança que está alcançando reconhecimento internacional Maior confiança mútua entre parceiros comerciais Custos possivelmente menores para seguros de riscos computacionais Melhores práticas de privacidade e conformidade com leis de privacidade

Exemplo 1:Uso de senhas Cláusula de controle (área) 9. Controle de acesso Sub-cláusula: 9.3. Responsabilidades do usuário Sub-sub-cláusula: 9.3.1 Uso de senhas Objetivo de controle (da sub-cláusula 9.3) Prevenir acesso não autorizado dos usuários Comentários adicionais (da sub-cláusula 9.3) A cooperação dos usuários autorizados é essencial para a eficácia da segurança Convém que os usuários sejam cientes de suas responsabilidades para o controle de acesso

Exemplo 1:Uso de senhas Comentários adicionais (da sub-sub-cláusula 9.3.1) Convém que os usuários sigam as boas práticas de segurança na seleção e uso de senhas As senhas fornecem um meio de validação e identidade do usuário e conseqüentemente o estabelecimento dos direitos de acesso para os recursos ou serviços de processamento da informação Controles: os usuários devem ser informados para tomar certas providências ...

Exemplo 1: Controles de uso de senhas Manter a confidencialidade das senhas Evitar o registro das senhas em papel, a menos que o papel possa ser guardado com segurança Alterar a senha sempre que existir qualquer indicação de comprometimento do sistema ou da própria senha Alterar as senhas em intervalos regulares ou baseando-se no número de acessos e evitar a reutilização de senhas antigas Senhas para contas privilegiadas devem ser alteradas com maior freqüência

Exemplo 1: Controles de uso de senhas Selecionar senhas de qualidade, com um tamanho mínimo de seis caracteres, que sejam: Fáceis de lembrar Não baseadas em coisas que outras pessoas possam facilmente adivinhar ou obter a partir de informações pessoais, como nomes, números, datas, etc. Sem caracteres repetidos ou grupos somente (alfa)numéricos Alterar senhas temporárias no primeiro acesso ao sistema

Exemplo 1: Controles de uso de senhas Não incluir senhas em processos automáticos de acesso ao sistema Ex: armazenadas em macros ou teclas de função Não compartilhar senhas individuais Se os usuários precisarem ter acesso a múltiplas plataformas ou serviço, e manter várias senhas, convém orientá-los para utilizar uma única senha de qualidade

Exemplo 1: Uso de senhas Perguntas: Quais controles são computacionais e quais dependem de procedimentos / treinamento? Como fazer com senhas que precisam ser compartilhadas por grupos? Como fazer para automatizar o processo do usuário ter acesso a múltiplas plataformas e serviços?

Exemplo 2: Gerenciamento de rede Cláusula de controle (área) 8. Gerenciamento das Operações e Comunicações Sub-cláusula: 8.5: Gerenciamento de rede Sub-sub-cláusula: 8.5.1. Controles da rede Objetivo de controle (da sub-cláusula 8.5) Garantir a salvaguarda das informações na rede e proteção da infra-estrutura de suporte Comentários adicionais (da sub-cláusula 8.5) O gerenciamento de redes que transcendem os limites físicos da organização necessita de atenção especial Pode ser necessária a utilização de controles adicionais para proteção de dados sensíveis que transitam por redes públicas

Exemplo 2: Gerenciamento de rede Comentários adicionais (da sub-sub-cláusula 8.5.1) Deve-se usar um conjunto de controles para preservar a segurança nas redes de computadores Os gestores devem implementar controles para garantir a segurança Dos dados nas redes Dos serviços disponibilizados contra acessos não autorizados

Exemplo 2: Controles da rede Convém que a responsabilidade operacional sobre a rede seja separada da operação dos computadores, onde for apropriado Convém que seja estabelecidos procedimentos e responsabilidade para o gerenciamento de equipamentos remotos Convém que sejam estabelecidos controles especiais para garantir a confiabilidade e integridade dos dados que trafegam por redes públicas (quando necessários) Convém que atividades de gerenciamento sejam cuidadosamente coordenadas, de forma a otimizar os serviços prestados e garantir a consistência dos controles pela infra-estrutura de processamento

Normas para Segurança da Informação Dúvidas ?

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.