Escolar Documentos
Profissional Documentos
Cultura Documentos
Curso Sobre Gestão Da Segurança Da Informação, Baseado Na Norma NBR Iso Iec 177992001 PDF
Curso Sobre Gestão Da Segurança Da Informação, Baseado Na Norma NBR Iso Iec 177992001 PDF
R ev: 0
Data:28.03.2005
CONTEDO PROGRAMTICO
MDULO I:A IMPORTNCIA DA SEGURANA DA
INFORMAO PARA AS ORGANIZAES
MDULO II:CONCEITOS E DEFINIES
MDULO III:POLTICA DE SEGURANA DA
INFORMAO E SEGURANA ORGANIZACIONAL
MDULO IV:CLASSIFICAO E CONTROLE DOS
ATIVOS DE INFORMAO E SEGURANA EM
PESSOAS
MDULO V:SEGURANA FSICA E DO AMBIENTE E
GERENCIAMENTO DAS OPERAES E
COMUNICAES
MDULO VI:CONTROLE DE ACESSO E
DESENVOLVIMENTO E MANUTENO DE SISTEMAS
MDULO VII:GESTO DA CONTINUIDADE DO NEGCIO
E CONFORMIDADE
MDULO VIII:CASES STUDIES
Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores
da economia, pois todas as organizaes, independentemente do seu porte
ou do ramo de atuao, precisam proteger as suas informaes sensveis e
crticas.
Embora existam normas sobre segurana da informao em vrios pases,
essas normas no tm a abrangncia da ISO IEC 17799, que no momento
est sendo atualizada e melhorada por um grupo de mais de 50 especialistas
de todas as partes do mundo.Foram cerca de trs anos de trabalho,
analisando mais de 1000 comentrios ao projeto da ISO IEC 17799.
A nova ISO IEC 17799, que estar disponvel a partir do segundo semestre
de 2005, uma norma global e que reflete os mais modernos conceitos
mundiais sobre Gesto da Segurana da Informao.
Os participantes deste curso precisaro fazer uma atualizao em relao
nova norma, a partir de setembro de 2005.
(ISO/IEC IS
7 Incidente
18044:2004)
de
segurana
da
informao:pendente(ISO/IEC
TR
( )C
( )NC
12.As equipes de suporte de software e hardware, que acessam os sistemas
de informaes ou compartilham as bases de dados no precisam ser
contempladas na avaliao de Risco
( )C
( )NC
13.Na identificao dos riscos, feita pela Avaliao de Risco, necessrio
considerar o pessoal da limpeza, os guardas de segurana e os consultores.
( )C
( )NC
14.Os contratos com os prestadores de servios que acessam os recursos de
processamento da informao, precisam fazer referncia aos requisitos de
segurana.
( )C
( )NC
15.O tipo de acesso dado aos prestadores de servios, seja fsico ou lgico,
precisa estar formalmente definido
( )C
( )NC
16.O acesso dos prestadores de servios informao e aos recursos de
processamento da informao, pela urgncia do trabalho, pode ser permitido,
antes da assinatura de um termo de confidencialidade e do cumprimento da
poltica de segurana da organizao
( )C
( )NC
17.O contrato com terceiros deve contemplar a indenizao a ser paga
organizao, nos casos de violao s normas e polticas da empresa
( )C
( )NC
18.O contrato com terceiros no precisa fazer meno aos eventuais subcontratados
( )C
( )NC
Uma das formas de reduzir esses riscos definir, nas descries de funes,
no perfil de competncia ou em um documento similar, regras e
responsabilidades pela segurana da informao. Estas regras devem estar
baseadas na poltica de segurana da informao da organizao.
Alm dos funcionrios, especial ateno deve ser dada aos prestadores de
servios, colaboradores temporrios e estagirios que acessam os recursos
de processamento da informao da organizao. No mnimo, essas pessoas
devem assinar um termo de confidencialidade.
A norma recomenda que a organizao realize uma srie de verificaes
antes da contratao de pessoas que venham a ter acesso s informaes
crticas e sensveis como, por exemplo, a apresentao de referencias
pessoais e profissionais e a checagem dos dados contidos no curriculum
vitae. Os registros relativos educao e qualificao tambm devem ser
confirmados.
Acordos de confidencialidade devem ser assinados tanto pelos funcionrios
da organizao como pelos prestadores de servios, pessoal temporrio e
estagirios, antes dos mesmos terem acesso aos recursos de processamento
da informao.
Treinamento dos usurios (item 6.2 da NBR ISO IEC 17799)
O principal objetivo deste controle assegurar que os usurios estejam
conscientes das ameaas aos ativos de informao e informao, e
preparados para apoiar e cumprir com as polticas e procedimentos relativos
segurana da informao.
Isto se consegue por meio de um processo de treinamento e educao bem
estruturado, destinado s pessoas que acessam os recursos de
processamento da informao e as informaes crticas e sensveis da
organizao, sejam eles funcionrios, prestadores de servios, pessoal
temporrio ou estagirios.
( )NC
18.Os diversos tipos de incidentes de segurana da informao(violao s
polticas e procedimentos da organizao, ameaas, fragilidades, mau
funcionamento) s devem ser notificados pelos funcionrios da Organizao.
( )C
( )NC
19.Deve ser estabelecido um processo disciplinar formal para tratar com os
usurios que cometam violaes na segurana da informao
( )C
( )NC
20.Alguns dos incidentes de segurana da informao devem ser utilizados
nos treinamentos de conscientizao dos usurios
( )C
( )NC
14.O trabalho nas reas de segurana deve ser feito sempre sob superviso,
no apenas por questes de segurana, como principalmente para evitar
possibilidades de atividades maliciosas.
( )C
( )NC
15.As reas de segurana no ocupadas, dispensam da necessidade de
verificao peridica.
( )C
( )NC
16.O acesso do pessoal de suporte s reas de segurana ou s instalaes
de processamento das informaes sensveis precisa somente de
autorizao .
( )C
( )NC
17.O uso de bebidas, alimento e fumo nas proximidades das instalaes de
processamento das informaes no proibido.
( )C
( )NC
18.Os geradores de reserva devem ser testados regularmente, seguindo as
instrues do fabricante, e o fornecimento de leo deve assegurar a
utilizao do gerador por um perodo de tempo prolongado.
( )C
( )NC
19.Todos os prdios devem ter proteo contra relmpagos e filtros de
proteo contra raios devem ser instalados nas linhas de comunicao
externas.
( )C
( )NC
20.O plano de manuteno dos equipamentos elaborado de acordo com a
experincia do gerente de manuteno, que no considera, necessariamente,
as recomendaes do fabricante.
( )C
( )NC
21.Os procedimentos de operao devem especificar a execuo detalhada
de tarefas incluindo requisitos de sincronismo, interdependncias com outros
sistemas, a hora mais cedo de incio e a hora mais tarde do trmino de
tarefas.
( )C
( )NC
( )C
( )NC
4.A concesso e o uso de privilgios devem ser restritos e controlados, pois a
experincia revela que o uso inadequado de privilgios em sistemas
freqentemente apontado como o maior fator de vulnerabilidade.
( )C
( )NC
5.O direito de acesso dos usurios deve ser analisado criticamente a cada
dois anos e as autorizaes para direitos de acesso privilegiados, a cada 12
meses.
( )C
( )NC
6. Os relgios dos computadores devem ser sincronizados para garantir a
exatido dos registros da auditoria, os quais podem ser requeridos por
investigaes ou como evidncias em casos legais ou disciplinares.
( )C
( )NC
7.A organizao deve adotar uma poltica formal para os recursos de
computao mvel, tais como, notebooks, palmtops, laptops e telefones
celulares. Esta poltica deve incluir requisitos para a proteo fsica, controles
de acesso, tcnicas criptogrficas, cpias de segurana e proteo contra
vrus.
( )C
( )NC
8.Os recursos de computao mvel devem ser protegidos fisicamente contra
roubo, quando deixados em carros, hotis e locais de reunio.
Equipamentos com informaes sensveis e crticas, nunca devem ser
deixados sem observao.
( )C
( )NC
9.Os computadores portteis devem ser carregados como bagagem de mo
e disfarados sempre que possvel nas viagens.
( )C
( )NC
10.As atividades de trabalho remoto devem ser realizadas com base em
polticas e procedimentos, e autorizadas somente se existirem controles e
12.1 Conformidade com requisitos legais (item 11.1 da NBR ISO IEC
17799)
O principal objetivo deste controle evitar a violao de qualquer legislao,
regulamentaes ou compromissos contratuais, alm de quaisquer requisitos
de segurana.
Uma das formas de evitar a violao elaborar e implementar um
procedimento que garanta que a organizao cumpre e respeita as leis de
propriedade intelectual e o uso de produtos de software proprietrios.
O procedimento deve definir como feito o controle sobre o uso dos software
licenciados pela organizao.
Alm disto, a organizao deve realizar campanhas de conscientizao junto
aos usurios, lembrando que o uso no autorizado ou a cpia de material
protegido ou de software pode levar a uma ao legal.
Um outro ponto a ser destacado refere-se reteno e guarda dos registros
importantes da organizao.
Recomenda-se elaborar um procedimento que defina cuidados para a
proteo dos registros contra a perda, destruio e falsificao. O
procedimento deve tambm fazer referncia forma de armazenagem, ao
tempo de indexao e ao descarte do registro.
Quanto proteo de dados e privacidade da informao pessoal,
recomenda-se a aplicao de controles apropriados para proteger as
informaes pessoais de acordo com a legislao pertinente.
grandes empresas que eram clientes do banco. Varias pessoas que estavam
no avio ouviram a conversa.