Escolar Documentos
Profissional Documentos
Cultura Documentos
Primeira edição
2012-07-15
Conteúdo Página
Prefácio
ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) formam o sistema especializado para
padronização mundial. Os organismos nacionais que são membros da ISO ou IEC participam no desenvolvimento de Normas Internacionais
através de comitês técnicos estabelecidos pela respectiva organização para lidar com campos específicos de atividade técnica. ISO e IEC
comissões técnicas colaborar em domínios de interesse mútuo. Outras organizações internacionais, governamentais e não-governamentais,
em ligação com ISO e IEC, também participam no trabalho. No campo da tecnologia da informação, ISO e IEC estabeleceram um comitê
técnico conjunto, ISO / IEC JTC 1.
Normas Internacionais são elaborados de acordo com as regras dadas no IEC directivas ISO /, Parte 2. A principal tarefa da comissão técnica
conjunta é preparar Normas Internacionais. Projectos de normas internacionais adotadas pelo comitê técnico conjunto são distribuídos aos
organismos nacionais para votação. A publicação como Norma Internacional requer aprovação de pelo menos 75% dos organismos nacionais
com direito a voto. Chama-se atenção para a possibilidade de que alguns dos elementos deste documento podem ser objecto de direitos de
patente. ISO e IEC não deve ser responsabilizada por identificação de quaisquer direitos de patentes. ISO / IEC 27032 foi preparado pelo Comité
Introdução
O ciberespaço é um ambiente complexo resultante da interação de pessoas, software e serviços na Internet, suportada por tecnologia em todo o mundo distribuídos informações físicas
e comunicação (TIC) dispositivos e redes conectadas. No entanto, existem problemas de segurança que não são cobertos pela corrente de segurança da informação, segurança de
Internet, segurança de rede e segurança das TIC melhores práticas como existem lacunas entre esses domínios, bem como a falta de comunicação entre as organizações e provedores
no ciberespaço. Isso ocorre porque os dispositivos e redes conectadas que têm apoiado o ciberespaço tem vários proprietários, cada um com seu próprio negócio, operacional e
preocupações regulatórias. O foco diferente colocado por cada organização e provedor no ciberespaço em domínios de segurança relevantes, onde pouca ou nenhuma entrada é
retirado de outra organização ou provedor resultou em um estado fragmentado da segurança para o ciberespaço. Como tal, a primeira área de foco desta Norma é o de segurança
endereço Cyberspace ou questões de segurança cibernética que se concentram em colmatar as lacunas entre os diferentes domínios de segurança no ciberespaço. Em particular esta
Norma fornece orientação técnica para abordar os riscos de Segurança Cibernética comuns, incluindo: a primeira área de foco desta Norma é o de segurança endereço Cyberspace ou
questões de segurança cibernética que se concentram em colmatar as lacunas entre os diferentes domínios de segurança no ciberespaço. Em particular esta Norma fornece orientação
técnica para abordar os riscos de Segurança Cibernética comuns, incluindo: a primeira área de foco desta Norma é o de segurança endereço Cyberspace ou questões de segurança
cibernética que se concentram em colmatar as lacunas entre os diferentes domínios de segurança no ciberespaço. Em particular esta Norma fornece orientação técnica para abordar os
- hacker;
- spyware; e
A orientação técnica fornece controles para enfrentar esses riscos, incluindo controles para:
- preparando para ataques de, por exemplo, malware, canalhas individuais ou organizações criminosas na Internet;
A segunda área de foco desta Norma é a colaboração, já que há uma necessidade de eficiente e eficaz partilha de informação, coordenação e
tratamento de incidentes entre as partes interessadas no ciberespaço. Esta colaboração deve ser de forma segura e confiável que também
protege a privacidade dos indivíduos em causa. Muitas dessas partes interessadas podem residir em diferentes localizações geográficas e fusos
horários, e são susceptíveis de ser governado por diferentes requisitos regulamentares. As partes interessadas incluem:
- compartilhamento de informações,
- coordenação e
- tratamento de
- requisitos técnicos para integração de sistemas e interoperabilidade entre diferentes partes interessadas. Dado o escopo desta
Norma, os controlos previstos são necessariamente a um nível elevado. padrões de especificação técnica detalhada e diretrizes aplicáveis
a cada área são referenciados nesta Norma para obter mais orientações.
1 Âmbito
Esta Norma Internacional fornece orientação para melhorar o estado de segurança cibernética, extraindo os aspectos únicos de que a atividade e suas
dependências em outros domínios de segurança, em particular:
- segurança da informação,
- segurança de rede,
- a segurança da Internet, e
Abrange as práticas de segurança da linha de base para as partes interessadas no ciberespaço. Esta Norma Internacional fornece:
- uma definição das partes interessadas e uma descrição de seus papéis em Segurança Cibernética,
- um quadro que permita intervenientes para colaborar na resolução de questões de segurança cibernética.
2 Aplicabilidade
2.1 Audiência
Esta Norma é aplicável aos prestadores de serviços no Ciberespaço. O público, no entanto, inclui os consumidores que usam esses serviços. Onde
as organizações prestação de serviços em Cyberspace para as pessoas para uso em casa ou outras organizações, eles podem precisar para
preparar orientação com base nesta norma internacional que contém explicações ou exemplos suficientes para permitir que o leitor a compreender e
agir sobre ela adicionais.
2.2 Limitações
- cibersegurança,
- cibercrime,
- PICI,
- segurança na Internet, e
Reconhece-se que existem relações entre os domínios mencionados e Segurança Cibernética. É, no entanto, além do escopo desta
Norma para abordar estas relações, ea partilha de controles entre estes domínios.
É importante notar que o conceito de Cibercrime, embora mencionado, não é abordada. Esta Norma não fornecer orientações sobre aspectos
relacionados com o Direito do Ciberespaço, ou no regulamento de segurança cibernética.
A orientação desta Norma é limitado à realização do Ciberespaço na Internet, incluindo os pontos finais. No entanto, a extensão do
ciberespaço para outras representações espaciais através de meios de comunicação e plataformas não são abordados, nem os aspectos
deles de segurança física. EXEMPLO 1 A protecção dos elementos de infra-estrutura, tais como portadores de comunicações, que
presidem à ciberespaço não são abordados.
EXEMPLO 2 A segurança física de telefones móveis que se conectam ao ciberespaço para download de conteúdo e / ou manipulação não é abordada.
EXEMPLO funções de mensagens e chat de voz 3 texto fornecida para telefones móveis não são abordadas.
3 Referências normativas
Os seguintes referenciados documentos são indispensáveis para a aplicação deste documento. Para referências datadas, somente a edição
citada se aplica. Para referências não datadas, a última edição do documento referenciado (incluindo quaisquer alterações). ISO / IEC 27000, A
tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Descrições e vocabulário
4 Termos e definições
Para efeitos do presente documento, os termos e definições dados na ISO / IEC 27000 e as seguintes se aplicam.
4.1
adware
aplicação que empurra publicidade para usuários e / ou coleta de usuário comportamento on-line NOTA
A aplicação pode ou não pode ser instalado com o conhecimento ou consentimento do usuário ou forçados para o usuário via
termos de licenciamento para o outro software.
4,2
aplicação
solução de TI, incluindo software de aplicação, dados de aplicativos e procedimentos, projetado para ajudar os usuários de uma organização executar determinadas tarefas ou lidar
com determinados tipos de problemas de TI através da automatização de um processo de negócio ou função [ISO / IEC 27034-1: 2011]
4.3
Aplicação do provedor de serviço
operador que fornece uma solução de software hospedado que fornece serviços de aplicativos que inclui web baseado ou cliente-servidor modelos de
entrega EXEMPLO
4,4
serviços de aplicativos
software com funcionalidade entregues sob demanda para os assinantes através de um modelo on-line que inclui aplicações web baseado ou
cliente-servidor
4,5
software de aplicação
software projetado para ajudar os usuários a realizar tarefas específicas ou manusear determinados tipos de problemas, como distinto do software que controla
4.6 de
ativos
tudo o que tem valor para um indivíduo, uma organização ou uma nota do governo
Adaptado da ISO / IEC 27000 para, disposições sobre os indivíduos ea separação entre os governos de
organizações (4,37).
4.7
avatar
representação de uma pessoa que participa no Ciberespaço NOTA 1 Um avatar pode
NOTA 2 Um avatar também pode ser visto como um “objecto” que representa a forma de realização do utilizador.
4,8
ataque
tentar destruir, expor, alterar, inutilizar, roubar ou ganhar acesso não autorizado ou fazer uso não autorizado de um ativo [ISO / IEC 27000: 2009]
4,9
potencial de ataque
potencial percebido para o sucesso de um ataque, deve ser lançado um ataque, expressa em termos de conhecimentos, recursos de um atacante e
4.10
vector de ataque
caminho ou meio pelo qual um atacante pode obter acesso a um computador ou servidor de rede, a fim de entregar um resultado malicioso
4,11
ataque misturado
atacar que procura maximizar a gravidade dos danos e a velocidade de contágio através da combinação de vários métodos de ataque
robot
4,12 bot
NOTA 1: A palavra é muitas vezes usado para descrever programas, geralmente executados em um servidor, que as tarefas Automatize como encaminhamento ou triagem e-mail.
NOTA 2 Um bot também é descrito como um programa que funciona como um agente para um utilizador ou um outro programa ou simula uma actividade humana. Na
Internet, a maioria dos bots ubíquos são os programas, também chamados de spiders ou crawlers, que acessar sites e recolher o seu conteúdo para os índices do Search
Engine.
4,13
botnet
software de controle remoto, especificamente uma coleção de bots maliciosos, que são executados de forma autônoma ou automaticamente em computadores comprometidos
4,14
bolinho
<Controle de acesso> capacidade ou bilhete em um sistema de controle de acesso
4.15
bolinho
<IPSec> dados trocados por ISAKMP para evitar certos ataques de negação de serviço durante o estabelecimento de uma associação de segurança
4.16
bolinho
<HTTP> dados trocados entre um servidor HTTP e um navegador para armazenar informações de estado no lado do cliente e recuperá-lo mais tarde para uso do
servidor NOTA
4.17
ao controle
contramedida
meios de gestão do risco, incluindo as políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser administrativo,
Guia ISO 73: 2009 define controlar simplesmente como uma medida que se altera o risco.
4,18
cibercrime
criminoso atividade onde os serviços ou aplicações no ciberespaço são utilizados para ou são alvo de um crime, ou onde o Ciberespaço é a
fonte, ferramenta, alvo, ou local de um crime
4,19
cibersegurança
condição de ser protegido contra a física, social, espiritual, financeiro, político, emocional, ocupacional, psicológico, educacional ou outros
tipos ou consequências do fracasso, danos, erros, acidentes, danos ou qualquer outro evento no ciberespaço que poderiam ser
considerados não desejável
NOTA 1 Isto pode assumir a forma de ser protegido do evento ou da exposição a algo que causa prejuízos de saúde e econômicos. Ele pode incluir a
proteção de pessoas ou de bens.
NOTA 2 Segurança em geral também é definida como o estado de ser determinado que os efeitos adversos não irá ser causada por algum agente sob condições
definidas.
4.20
Cíber segurança
segurança do ciberespaço
preservação da confidencialidade, integridade e disponibilidade da informação no ciberespaço NOTA 1
Além disso, outras propriedades, tais como a autenticidade, a responsabilização, não-rejeição, e a fiabilidade pode também ser envolvido.
NOTA 2 Adaptado a partir da definição de segurança da informação na ISO / IEC 27000: 2009.
4,21
o Ciberespaço
ambiente complexo resultante da interação de pessoas, software e serviços na Internet por meio de dispositivos de tecnologia e redes
conectadas a ele, que não existe em qualquer forma física
4,22
serviços de aplicação ciberespaço
serviços de aplicação (4,4) fornecidos ao longo do ciberespaço
4,23
Cyber-invasor
indivíduos ou organizações que se inscreverem e segurá-URLs que se assemelham referências ou nomes de outras organizações no
mundo real ou no ciberespaço
4,24
software fraudulento
software que atividades executa no computador de um usuário sem primeiro notificar o usuário como para exatamente o que o software vai fazer no computador, ou
pedindo ao usuário para o consentimento para essas ações EXEMPLO 1 Um programa que configurações de seqüestros usuário.
programa Exemplo 2: A que faz com que anúncios pop-up intermináveis que não pode ser facilmente interrompido pelo usuário. EXEMPLO 3 Adware e
spyware.
4.25
pirataria
acessando intencionalmente um sistema de computador, sem a autorização do usuário ou o proprietário
4,26
hacktivismo
Hacker para um propósito politicamente ou socialmente motivados
4,27
ativo de informação
conhecimento ou dados que tem valor para o NOTA indivíduo ou organização
internetwork
4,28 internet
Neste contexto, seria feita referência a “uma internet”. Há uma diferença entre a definição de “um
internet”e‘Internet’.
4,29
a Internet
sistema global de redes interligadas no domínio público [ISO / IEC 27033-1:
2009] NOTA
4,30
crime na Internet
criminoso atividade onde os serviços ou aplicações na Internet são usados para ou são alvo de um crime, ou onde a Internet é a fonte,
ferramenta, alvo, ou local de um crime
4,31
segurança na Internet
condição de ser protegido contra a física, social, espiritual, financeiro, político, emocional, ocupacional, psicológico, educacional ou outros
tipos ou consequências do fracasso, danos, erros, acidentes, danos ou qualquer outro evento na Internet que poderiam ser considerados
não desejável
4,32
Segurança da Internet
preservação da confidencialidade, integridade e disponibilidade da informação na Internet
4.33
serviços da Internet
serviços prestados a um usuário para permitir o acesso à Internet através de um endereço IP atribuído, que normalmente incluem serviços de nome de
autenticação, autorização e de domínio
4,34
provedor de internet
organização que fornece serviços de Internet para um usuário e permite o seu acesso clientes à Internet NOTA