Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurana de Informao
responsvel pela proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao
Normas
Poltica de Segurana
Objetivo:
Prover
Deve especificar:
Metas
Poltica de Segurana
constantes atualizaes
Projeto de Segurana
Identificao dos ativos da empresa em termos de informao; Anlise dos riscos de segurana; Anlise dos requisitos de segurana e compromissos; Desenvolvimento de um plano de segurana; Definio de uma norma de segurana; Desenvolvimento de procedimentos para implantar a norma e uma estratgia de implementao Implementao, gerenciamento e auditoria dos procedimentos de segurana.
Plano de Segurana
Prope o que a organizao deve fazer para satisfazer os requisitos de segurana Deve conter:
Relao de servios de TI disponibilizados; Quais reas disponibilizam esses servios; Quem tem acesso a esses; Descrio detalhada da implementao desse plano; Procedimentos de controle dos ambientes, incidentes e contingncias As pessoas e os recursos necessrios para o desenvolvimento e implementao tcnica da norma de segurana
Especifica:
Plano de Segurana
Precisa ter apoio de todos os nveis de funcionrios dentro da organizao O pessoal tcnico da rede e locais remotos deve se envolver da mesma forma que os usurios finais
Normas de Segurana
So declaraes formais das regras s quais as pessoas que tm um determinado acesso tecnologia e ativos de informaes de uma organizao devem obedecer
Normas de Segurana
Informa aos usurios, gerentes e ao pessoal tcnico de suas obrigaes para proteger os ativos de tecnologia e informaes Deve ser explicada a todos pela gerncia superior um documento vivo Devem ser atualizadas constantemente
Normas de segurana
BS7799
Standart 7799 uma norma de segurana destinada a empresas Criada na Inglaterra, teve seu desenvolvimento iniciada em 1995
Brithish
ISO/IEC 17799
Verso Verso
Pode ser usada pela maioria dos setores da economia As principais recomendaes so organizadas em 11 sees:
Poltica de Segurana de Informao; Organizando a Segurana de Informao; Gesto de ativos; Segurana em Recursos Humanos; Segurana Fsica e do Ambiente; Gerenciamento das Operaes e Comunicaes; Controle de Acesso; Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; Gesto de Incidentes de Segurana de Informao; Gesto de Continuidade de Negcios; Conformidade.
Ser abordado:
Notificao
Gesto
Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.
Sero
Tratados:
Convm que os eventos de segurana da informao sejam relatados atravs dos canais apropriados da direo, o mais rapidamente possvel.
Diretrizes
para Implementao
incluam:
Processos adequados de realimentao; Formulrio; Comportamento correto a ser tomado; Referncia para um processo disciplinar formal estabelecido.
Alarmes
de coao
adicionais
Treinamento de conscientizao
Convm que os funcionrios, fornecedores e terceiros de sistemas e servios de informao sejam instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.
para implementao
Notificar o mais rpido possvel para sua direo ou provedor de servios Mecanismo de notificao fcil, acessvel e com uma mxima disponibilidade Usurios no podem tentar averiguar fragilidade suspeita
adicionais
Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao.
Sero
Tratados:
Responsabilidades e procedimentos
Controle
Convm que responsabilidades e procedimentos de gesto sejam estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao.
Responsabilidades e procedimentos
Diretrizes
gesto:
Anlise e identificao da causa do incidente; Reteno; Planejamento e implementao de ao corretiva; Comunicao com aqueles afetados ou envolvidos com a recuperao do incidente; Notificao da ao para a autoridade apropriada;
(Cont.):
Concordncia
da direo em relao aos objetivos de gesto de incidentes Entendimento das prioridades da organizao no manuseio de incidentes pelos responsveis
Responsabilidades e procedimentos
Informaes
Adicionais
Comunicao com organizaes externas Resposta coordenada Troca de informaes em relaes a esses incidentes
Convm que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados.
para implementao
Informao resultante da anlise de incidentes utilizada para identificao de incidentes recorrentes ou de alto impacto
Informaes
Adicionais
Coleta de evidncias
Controle
Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), convm que evidncias sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio(es) pertinente(s).
Coleta de evidncias
Diretrizes
Necessita de uma qualidade e inteireza nos controles para proteo de evidncias Processo de armazenamento e processamento de evidncia
Coleta de evidncias
Diretrizes
Coleta de evidncias
Diretrizes
Trabalho forense somente realizado em cpias Preservao da integridade de todo material de evidncia Superviso no processo de cpia
Pessoas confiveis
Coleta de evidncias
Informaes
adicionais:
Ser abordado:
Aspectos
Convm que um processo de gesto seja desenvolvido e mantido para assegurar a continuidade do negcio por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a continuidade do negcio da organizao.
Incluso da segurana da informao no processo de gesto da continuidade de negcio Diretrizes para implementao
Entendimentos dos riscos de exposio da organizao; Identificao de ativos nos processos crticos de negcios; Entendimento do impacto que incidentes tero sobre os negcios; Estabelecimento dos objetivos do negcio dos recursos de processamento da informao; Considerao de contratao de seguro compatvel Identificao e considerao da implementao de controles preventivos e de mitigao;
Incluso da segurana da informao no processo de gesto da continuidade de negcio Diretrizes para implementao (Cont.)
Garantia da segurana de pessoal; Proteo de recursos de processamento das informaes e bens organizacionais; Detalhamento e documentao de planos de continuidade de negcio; Testes e atualizaes regulares dos planos e processos implantados Garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da organizao.
Convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.
para implementao
Identificao de eventos que podem causar interrupes nos processos de negcio Anlise/avaliao de riscos para a determinao da probabilidade e impacto dessas interrupes
Realizadas com envolvimento dos responsveis pelos processos e recursos do negcio; Identificao, quantificao e priorizao dos critrios baseados nos riscos e os objetivos pertinentes organizao.
Convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Diretrizes para implementao
Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Diretrizes para implementao (Cont.)
Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno.
para implementao
Plano de continuidade
Enfoque para continuidade do negcio; Plano de escalonamento; Condies para ativao;
Convm que os planos de continuidade do negcio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade.
para implementao
Conscientizao dos membros da equipe de suas responsabilidades nos testes Planejamento e programao dos teste dos planos
Indicao e como e quando cada elemento seja testado; Componentes dos planos sejam frequentemente testados.
Itens considerados:
Testes de mesa simulando diferentes cenrios; Simulaes; Testes de recuperao tcnica; Testes de recuperao em um local alternativo; Testes dos recursos, servios e instalaes de fornecedores; Ensaio geral.
Aquisio de novos equipamentos; Atualizaes de sistemas; Mudanas de: Pessoal; Estratgia de negcio e Processos