Escolar Documentos
Profissional Documentos
Cultura Documentos
2. Quais medidas são aplicadas para garantir a proteção das informações nas redes e dos recursos de rede
disponibilizados aos usuários ?
- Ex: Bloqueio de portas do switches (NAC, 801.1x)
3. Existe proteção especial quantos aos dados que trafegam sobre redes públicas ou wireless?
1. São implantados controles para a segurança dos serviços de rede como por exemplo autenticação,
encriptação ou controle de conexões de rede ?
3. Existem procedimentos para restringir o acesso a serviços de rede ou aplicações quando necessário?
1. As redes são segregadas em função de seu tipo/funcionalidade? ( Corporativa, visitantes ; por andar ;
por setor)
- VLANs, DMZ?
1.1. São utilizados gateways tipo firewall para segregação das redes?
2. As redes wireless por ser naturalmente um perímetro considerado fraco tem um tratamento especial?
1. Existe implementada uma política para o uso de controles criptográficos para proteção da informação?
1.1. A política prevê a proteção das informações transportadas em mídias removíveis, notebooks ou
através de linhas de comunicações?
1.2. A política prevê critérios para utilização da criptografia, de acordo com a classificação da informação
acessada/ armazenada/ transmitida?
2. Há tecnologia implementada que viabilize a criptografia para banco, disco, senhas ou mídias de
armazenamento? / 1. Existe uma política sobre o uso, proteção e tempo de vida das chaves criptográficas
ao longo de todo o seu ciclo de vida?
2. O sistema de gerenciamento de chaves é utiliza métodos seguros para: gerar chaves para diferentes
sistemas criptográficos e diferentes aplicações; armazenar as chaves, mudar ou atualizar, revogar, destruir
e etc.
3. São avaliados os riscos e impactos das mudanças antes de autorizar sua implementação?
A.13.1.2 Segurança dos serviços de rede: Mecanismos de segurança, níveis de serviço e requisitos de
gerenciamento de todos os serviços de rede devem ser identificados e incluídos em qualquer acordo de
serviços de rede, tanto para serviços de rede providos internamente como para terceirizados.
Prioridade: ALTA
Recomendação:
Prioridade: ALTA
Recomendação:
Definir tratamentos diferenciados para redes wireless, por ser naturalmente um perímetro
considerado fraco.
Utilizar recursos de redes privadas virtuais seguros para conexão na rede interna através de
redes externas, como a implementação de solução de DMZ e VPN.
Controles:
A.10.1.1 Política para o uso de controles criptográficos: Deve ser desenvolvida e implementada uma
política para o uso de controles criptográficos para a proteção da informação.
Prioridade BAIXA
:
Recomendação:
Estabelecer uma política para uso de criptografia, para tratamento dos riscos associados às
informações confidenciais e dados pessoais, de acordo com a classificação da informação.
Prioridade: MÉDIA
Recomendação:
Estabelecer e implementar uma política de desenvolvimento seguro que defina regras para o
desenvolvimento de sistemas e softwares dentro da organização. Nesta política, os seguintes
aspectos devem ser considerados: segurança do ambiente de desenvolvimento; segurança na
metodologia de desenvolvimento; diretrizes de códigos seguro para cada linguagem de
programação; pontos de verificação de segurança no cronograma do projeto; repositórios
seguros; segurança no controle de versões; privacidade dos dados pessoais; dentre outros.
Diretrizes sobre o cuidado com a utilização de dados pessoais durante o projeto e seu
desenvolvimento devem ser estabelecidas, como por exemplo, evitar o uso de dados pessoais
em bases de testes