Escolar Documentos
Profissional Documentos
Cultura Documentos
Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos
critérios, verificar o que é mais critico para a empresa.
Deve-se fazer o levantamento de todos os ativos da empresa,que são críticos,para que
se encontre e avalie os riscos que podem ocorrer sobre estes. Encontrar as
vulnerabilidades do sistema adotado pela empresa e em até que ponto estas impactam
sobre os riscos da empresa.
Envolve tomar uma decisão sobre o tratamento do risco,como aplicar controles que
reduzam ao máximo os riscos, reconhecer que ele atenda a politica da organização.
Os controles devem assegurar que os riscos sejam reduzidos de modo aceitável , ou
seja , os custos e de implementação e a operação em relação aos riscos.
__________________
__________________
7 Gestão de Ativos
7.1.1 Inventario
Um inventario é basicamente para definir o que é um ativo e qual a sua importância
para o funcionamento da empresa.
Este processo é de fundamenta importância em um procedimento de recuperação, ou
auditorias.
O QUE DEVE CONTER NO INVENTARIO?
O inventario deve conter informações especificas do ativo, para que ele é utilizado,
onde,
que software é utilizado neste ativo.
8.1.1Papéis e responsabilidades
Estas responsabilidades devem ser atribuídas antes da contratação, de forma
adequada, nas descrições de cargos e nos
termos e condições de contratação. E esclarecidas e atualizadas durante a
permanência do funcionário na empresa.
É de Responsabilidades da direção:
Sempre atualizar e divulgar os termos de segurança, conscientizado sempre seus
funcionários.
Objetivo Tratar dos procedimentos que devem ser adotados quando da entrada de
visitantes ou pessoas não autorizadas
9.2.2 Utilidades
Convém que todas as utilidades, tais como suprimento de energia elétrica, suprimento
de água, esgotos, calefação/ventilação e ar-condicionado sejam adequados para os
sistemas que eles suportam.
Objetivo: Trata dos procedimentos que devem ser adotados para a devida proteção do
sistema de cabeamento. Proteger o cabeamento contra interceptação não autorizada,
Cabos de energia de ser separado dos cabos de telecomunicação.
a) utilização de cabeamento de fibras ópticas;
b) acesso controlado aos painéis de conexões e às salas de cabos.
Inspeções
Topicos relacionados:
10.1 Procedimentos e responsabilidades operacionais
10.1.1 Documentação dos procedimentos de operação
10.1.2 Gestão de mudanças
10.1.3 Segregação de funções
10.1.4 Separação dos recursos de desenvolvimento, teste e de produção
10.3 Planejamento e aceitação dos sistemas
10.3.1 Gestão de capacidade
10.4 Proteção contra códigos maliciosos e códigos móveis
10.4.1 Controles contra códigos maliciosos
10.4.2 Controles contra códigos móveis
10.5 Cópias de segurança
10.5.1 Cópias de segurança das informações
10.6 Gerenciamento da segurança em redes
10.6.1 Controles de redes
10.6.2 Segurança dos serviços de rede
10.7 Manuseio de mídias
10.7.1 Gerenciamento de mídias removíveis
10.7.2 Descarte de mídias
10.7.3 Procedimentos para tratamento de informação
10.7.4 Segurança da documentação dos sistemas
_________________
_________________
capítulo 11: controle de acessos (parte 1)
atribuir identificações individuais, registrar e fazer com que o usuário tenha consciência
das suas responsabilidades
11.2.2 privilégios de acesso
evitar usar senhas fáceis de serem descobertas ou anotá-las em papel; usar senhas
temporárias para o registro dos usuários e educar os usuários para que não
compartilhem suas senhas
garantir métodos de autenticação para controlar o acesso dos usuários aos recursos
de
rede da empresa
utilizar firewalls para isolar as redes internas do link externo, e proxies para filtrar as
requisições vindas da rede externa
11.5
*Garantir segurança para todo o sistema de informação, e tomar como parte integrante
*Analisar todo e qualquer dado o qual esteja de entrada das aplicações sejam
validados, garantindo sua validade e autenticidade
*Todo e qualquer dado que seja testado deve estar devidamente protegido de
qualquer dano ao sistema, ou seja, em um ambiente controlado
12.5.2 Análise crítica técnica das aplicações após mudanças no sistema operacional
*Qualquer mudança que seja praticada, deve rigorosamente analisada e testada para
que não haja qualquer impacto negativo na operação da empresa
*Garantir que o software desenvolvido por terceiros seja de qualidade, fazer todo e
qualquer teste para evitar danos ao sistema, ou softwares maliciosos, acompanhar seu
desenvolvimento
Este Artigo da norma, nos diz é necessário uma pessoa responsável para cuidar da
segurança da informação, que este seja conhecido por todos em caso de algum
incidente este precisa ser avisado imediatamente. A implantação de procedimento de
notificação é extremamente importante no processo da segurança da informação, caso
haja algo de diferente acontecendo que possa burlar a segurança, não deverá ser
tomada nenhum tipo de decisão precipitada e deverá ser feito um relatório detalhado
com todos os erros que acontecem. Treinamentos para conscientização de
funcionários é fundamental para que os mesmos possam aderir a causa e entender o
porque deve haver regras para haver segurança. É importante lembrar que o usuário,
ao relatar perigo à segurança da informação, esse relato deve ser de fácil acesso e
sempre disponível, além do mesmo ser informado que de hipótese alguma poderá
tentar averiguar uma fragilidade a segurança da informação, pois isso poderá danificar
o sistema e a segurança da informação.
Tópicos Importantes:
Tópicos Importantes:
15 Conformidade
Lista algumas precauções para não sofrer penalidades, deveres dos gestores com a
política de segurança da empresa, e auditoria.
15.1 Conformidade com requisitos legais
Objetivo: Registros (Ex.: Banco de dados) sejam protegidos contra perda, destruição e
falsificação, seguindo a norma ISO 15489-1.