Este documento discute a Norma Brasileira de Segurança da Informação NBR ISO/IEC 17799 e a norma internacional ISO/IEC 27001. Apresenta os principais tópicos cobertos pelas normas, incluindo políticas de segurança, riscos organizacionais, controle de ativos, segurança de pessoas e ambiental. Também fornece uma ferramenta para mapear os requisitos das normas e planejar a implantação para atendimento às mesmas.
Gestao da politica de segurança e operação da informacaoRui Gomes
1) O documento discute as melhores práticas para gestão da segurança da informação de acordo com as normas ISO/IEC 17799 e ISO/IEC 27001.
2) Inclui uma explicação detalhada dos 11 controles de segurança da informação definidos pela norma ISO/IEC 17799.
3) Conclui que a implementação das normas exige mudanças significativas nas organizações, mas minimiza riscos e permite a certificação da gestão da segurança.
O documento discute as normas de segurança da informação ISO 17799 e BS 7799. A ISO 17799 fornece recomendações para gestão de segurança da informação, cobrindo aspectos como segurança organizacional, física, de acesso, continuidade e conformidade. A BS 7799-2 trata da certificação de segurança em organizações.
Este capítulo apresenta a evolução da segurança da informação ao longo da história, desde as primeiras formas de registro de informação na pré-história até as modernas tecnologias digitais. Também define o conceito de informação e a importância de sua proteção para as organizações. Por fim, introduz os conceitos básicos de segurança da informação.
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
O documento apresenta uma comparação entre as normas ISO 31000 e ISO 27005 para gestão de riscos. A norma ISO 31000 fornece princípios e diretrizes gerais para gestão de riscos, enquanto a ISO 27005 foca especificamente na gestão de riscos de segurança da informação. O autor analisa os conceitos apresentados em cada norma e avalia o nível de aderência entre elas.
Este documento define uma política de segurança para uma organização educacional, visando garantir a confidencialidade, integridade e disponibilidade das informações. A política estabelece normas para acesso físico e lógico, classificação e gestão de ativos, operações de rede e internet, controle de acesso e incidentes de segurança. Fatores como apoio da administração e atualizações periódicas são essenciais para o sucesso da política.
Política de segurança da informação FícticiaVitor Melo
Essa política de segurança da informação foi criada para atender a atividade final prática da cadeira de mesmo nome na Pós-Graduação em Segurança da Informação que fiz no Centro Universitário de João Pessoa - UNIPÊ.
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
O documento discute a adoção da norma ISO 27001 para garantir a segurança da informação nos negócios. Ele explica que a ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação efetivo que considera fatores como governança, riscos, controles e gestão de incidentes. Além disso, destaca os benefícios da certificação, como redução de riscos, conformidade legal e confiança de parceiros. Por fim, fornece estatísticas sobre o crescimento no número de empresas certificadas global
Aplicação de sistemas de gestão da segurança da informação para startups no b...Thiago Rosa
Artigo cientifico da aula de Metodos de Pesquisa no Centro Universitário das Faculdades Metropolitanas Unidas sobre Sistemas de Gestão da Segurança da Informação para Startups no Brasil com base nas bibliográfias existentes
Gestao da politica de segurança e operação da informacaoRui Gomes
1) O documento discute as melhores práticas para gestão da segurança da informação de acordo com as normas ISO/IEC 17799 e ISO/IEC 27001.
2) Inclui uma explicação detalhada dos 11 controles de segurança da informação definidos pela norma ISO/IEC 17799.
3) Conclui que a implementação das normas exige mudanças significativas nas organizações, mas minimiza riscos e permite a certificação da gestão da segurança.
O documento discute as normas de segurança da informação ISO 17799 e BS 7799. A ISO 17799 fornece recomendações para gestão de segurança da informação, cobrindo aspectos como segurança organizacional, física, de acesso, continuidade e conformidade. A BS 7799-2 trata da certificação de segurança em organizações.
Este capítulo apresenta a evolução da segurança da informação ao longo da história, desde as primeiras formas de registro de informação na pré-história até as modernas tecnologias digitais. Também define o conceito de informação e a importância de sua proteção para as organizações. Por fim, introduz os conceitos básicos de segurança da informação.
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
O documento apresenta uma comparação entre as normas ISO 31000 e ISO 27005 para gestão de riscos. A norma ISO 31000 fornece princípios e diretrizes gerais para gestão de riscos, enquanto a ISO 27005 foca especificamente na gestão de riscos de segurança da informação. O autor analisa os conceitos apresentados em cada norma e avalia o nível de aderência entre elas.
Este documento define uma política de segurança para uma organização educacional, visando garantir a confidencialidade, integridade e disponibilidade das informações. A política estabelece normas para acesso físico e lógico, classificação e gestão de ativos, operações de rede e internet, controle de acesso e incidentes de segurança. Fatores como apoio da administração e atualizações periódicas são essenciais para o sucesso da política.
Política de segurança da informação FícticiaVitor Melo
Essa política de segurança da informação foi criada para atender a atividade final prática da cadeira de mesmo nome na Pós-Graduação em Segurança da Informação que fiz no Centro Universitário de João Pessoa - UNIPÊ.
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
O documento discute a adoção da norma ISO 27001 para garantir a segurança da informação nos negócios. Ele explica que a ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação efetivo que considera fatores como governança, riscos, controles e gestão de incidentes. Além disso, destaca os benefícios da certificação, como redução de riscos, conformidade legal e confiança de parceiros. Por fim, fornece estatísticas sobre o crescimento no número de empresas certificadas global
Aplicação de sistemas de gestão da segurança da informação para startups no b...Thiago Rosa
Artigo cientifico da aula de Metodos de Pesquisa no Centro Universitário das Faculdades Metropolitanas Unidas sobre Sistemas de Gestão da Segurança da Informação para Startups no Brasil com base nas bibliográfias existentes
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
O documento apresenta um resumo da aula sobre segurança e auditoria de sistemas. Ele discute a importância de organizar a segurança através de um modelo de gestão corporativa e comitês de segurança, e introduz conceitos como ativos tangíveis e intangíveis, motivação para segurança, normas e políticas de segurança.
O documento discute a implementação de sistemas de gestão da segurança da informação de acordo com as normas ISO 27000. A norma ISO 27001 define os requisitos para um sistema de gestão de segurança da informação efetivo. A implementação deve seguir o ciclo PDCA de planejamento, implementação, verificação e ação para melhoria contínua.
Este documento estabelece uma Política de Segurança da Informação (PSI) para uma organização fictícia, definindo diretrizes e procedimentos para proteger os dados e ativos de informação da organização. A PSI abrange questões de segurança física, lógica, de telecomunicações e continuidade dos negócios. Ela descreve os riscos a serem mitigados, ameaças a serem tratadas, controles mínimos necessários e regulamentações aplicáveis.
1) O documento apresenta os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
2) A norma descreve os requisitos gerais para o SGSI, incluindo a necessidade de documentação e controle de documentos.
3) As responsabilidades da direção em relação ao SGSI são detalhadas, incluindo comprometimento, gestão de recursos, auditorias internas e análise crítica.
O documento discute o que é informação e política de segurança da informação (PSI), e fornece diretrizes para elaborar e implementar uma PSI em uma organização. A PSI deve estabelecer normas e procedimentos para proteger os recursos de TI e informações da empresa, e deve ser revisada periodicamente. Implementar com sucesso uma PSI requer treinamento dos funcionários e apoio da alta gestão.
O documento apresenta informações sobre a norma NBR ISO/IEC 27001. Ela define os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação. A norma tem como objetivo ajudar as organizações a adotarem modelos adequados para lidar com segurança da informação de forma sistemática.
Política de segurança da informação diretrizes geraisAdriano Lima
Este documento apresenta a Política de Segurança da Informação da Agência Estadual de Tecnologia da Informação (ATI) do estado de Pernambuco. Ele define as atribuições e responsabilidades do Comitê Gestor de Segurança, da Presidência da ATI, da Diretoria Executiva de Tecnologia da Informação e Comunicação e da Unidade de Segurança da Informação no que se refere à segurança da informação. Além disso, estabelece diretrizes gerais sobre gestão de segurança da informação, gestão de riscos, plano
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
Este documento propõe questões norteadoras para avaliar a usabilidade de políticas de segurança da informação em pequenas e médias empresas e startups. Primeiro, discute conceitos como segurança da informação, políticas de segurança e experiência do usuário. Em seguida, define o que são pequenas e médias empresas e startups e sugere que essas organizações nem sempre dão a devida atenção à segurança da informação.
Artigo impacto de implementação de normas de segurança de informação - nbr ...Ismar Garbazza
Este documento discute a implementação da norma ISO/IEC 17799 sobre gestão da segurança da informação nas empresas. A norma estabelece controles para garantir a confidencialidade, integridade e disponibilidade das informações corporativas. Sua implementação pode melhorar a segurança das empresas e trazer benefícios competitivos, embora exija esforços significativos. No Brasil, as empresas estão começando a se preparar para implementar a norma nacional correspondente.
O documento discute conceitos fundamentais de segurança da informação aplicados a negócios, incluindo ativos de informação, vulnerabilidades, ameaças e impactos. Também aborda a importância da informação para o negócio e os princípios da segurança: disponibilidade, confidencialidade e integridade. Por fim, explica análises de impacto e risco para identificar ameaças e proteger ativos cruciais.
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
O documento estabelece diretrizes e controles para a segurança da informação de acordo com a norma ISO 27001. Inclui políticas sobre segurança, gestão de ativos, segurança física, operações e recursos humanos para assegurar a confidencialidade, integridade e disponibilidade da informação da organização.
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
1. O documento discute os princípios fundamentais de segurança da informação, incluindo confidencialidade, integridade e disponibilidade.
2. Também aborda conceitos como autenticidade, não-repúdio, redundância, backups e encriptação que são importantes para proteger a informação.
3. Fornece exemplos de como esses princípios podem ser implementados em sistemas computacionais para garantir a segurança da informação.
Apostila sobre Auditoria em tecnologia da informação, elaborada pelo professor André Campos. Encontre outros materiais no portal GSTI: www.portalgsti.com.br
1. O documento discute os aspectos importantes na elaboração de uma Política de Segurança da Informação (PSI) em uma organização. 2. Inclui detalhes sobre como formar um comitê de segurança, partes que devem compor o documento final da PSI e a importância de oficializar a política. 3. Também fornece exemplos de estruturas comuns para PSI, incluindo diretrizes, normas e procedimentos.
A norma ISO 27002 fornece diretrizes e princípios para implementar a segurança da informação e estabelecer um sistema de gestão de segurança da informação. Ela cobre 15 áreas diferentes como política de segurança, gestão de ativos, segurança física, operações, acesso, aquisição de sistemas, incidentes, continuidade e conformidade. O objetivo é ajudar organizações a gerenciar riscos de segurança da informação e proteger ativos de informação.
Este documento fornece uma introdução à família de normas ISO/IEC 27000, que tratam da gestão da segurança da informação. Ele define normas, objetivos da normalização, quem faz normas e apresenta um diagrama da família ISO/IEC 27000.
O documento apresenta uma introdução sobre segurança da informação, definindo o que é, por que é necessária e como estabelecer requisitos. Apresenta também os principais pontos para o início de um programa de segurança, como política, atribuição de responsabilidades, conscientização e análise de riscos.
O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
This document contains two website URLs. The first URL is for a blog called "mrgold70" on blogspot.com. The second URL is for a website called "music-bazaar" that appears to be related to buying and selling music.
Projeto Capas de Caderno - Apresentação PréviaFabio Fermo
O documento apresenta o projeto de desenvolvimento de estampas para cadernos com tema Art Deco e fragmentação. Três padrões principais são desenvolvidos com variações de cores como preto, tons pastéis, vermelhos, laranjas e azuis. As estampas serão aplicadas em cadernos de pequeno porte para anotações, com foco em público feminino. Protótipos físicos serão produzidos para validar o design final.
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
O documento apresenta um resumo da aula sobre segurança e auditoria de sistemas. Ele discute a importância de organizar a segurança através de um modelo de gestão corporativa e comitês de segurança, e introduz conceitos como ativos tangíveis e intangíveis, motivação para segurança, normas e políticas de segurança.
O documento discute a implementação de sistemas de gestão da segurança da informação de acordo com as normas ISO 27000. A norma ISO 27001 define os requisitos para um sistema de gestão de segurança da informação efetivo. A implementação deve seguir o ciclo PDCA de planejamento, implementação, verificação e ação para melhoria contínua.
Este documento estabelece uma Política de Segurança da Informação (PSI) para uma organização fictícia, definindo diretrizes e procedimentos para proteger os dados e ativos de informação da organização. A PSI abrange questões de segurança física, lógica, de telecomunicações e continuidade dos negócios. Ela descreve os riscos a serem mitigados, ameaças a serem tratadas, controles mínimos necessários e regulamentações aplicáveis.
1) O documento apresenta os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
2) A norma descreve os requisitos gerais para o SGSI, incluindo a necessidade de documentação e controle de documentos.
3) As responsabilidades da direção em relação ao SGSI são detalhadas, incluindo comprometimento, gestão de recursos, auditorias internas e análise crítica.
O documento discute o que é informação e política de segurança da informação (PSI), e fornece diretrizes para elaborar e implementar uma PSI em uma organização. A PSI deve estabelecer normas e procedimentos para proteger os recursos de TI e informações da empresa, e deve ser revisada periodicamente. Implementar com sucesso uma PSI requer treinamento dos funcionários e apoio da alta gestão.
O documento apresenta informações sobre a norma NBR ISO/IEC 27001. Ela define os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação. A norma tem como objetivo ajudar as organizações a adotarem modelos adequados para lidar com segurança da informação de forma sistemática.
Política de segurança da informação diretrizes geraisAdriano Lima
Este documento apresenta a Política de Segurança da Informação da Agência Estadual de Tecnologia da Informação (ATI) do estado de Pernambuco. Ele define as atribuições e responsabilidades do Comitê Gestor de Segurança, da Presidência da ATI, da Diretoria Executiva de Tecnologia da Informação e Comunicação e da Unidade de Segurança da Informação no que se refere à segurança da informação. Além disso, estabelece diretrizes gerais sobre gestão de segurança da informação, gestão de riscos, plano
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
Este documento propõe questões norteadoras para avaliar a usabilidade de políticas de segurança da informação em pequenas e médias empresas e startups. Primeiro, discute conceitos como segurança da informação, políticas de segurança e experiência do usuário. Em seguida, define o que são pequenas e médias empresas e startups e sugere que essas organizações nem sempre dão a devida atenção à segurança da informação.
Artigo impacto de implementação de normas de segurança de informação - nbr ...Ismar Garbazza
Este documento discute a implementação da norma ISO/IEC 17799 sobre gestão da segurança da informação nas empresas. A norma estabelece controles para garantir a confidencialidade, integridade e disponibilidade das informações corporativas. Sua implementação pode melhorar a segurança das empresas e trazer benefícios competitivos, embora exija esforços significativos. No Brasil, as empresas estão começando a se preparar para implementar a norma nacional correspondente.
O documento discute conceitos fundamentais de segurança da informação aplicados a negócios, incluindo ativos de informação, vulnerabilidades, ameaças e impactos. Também aborda a importância da informação para o negócio e os princípios da segurança: disponibilidade, confidencialidade e integridade. Por fim, explica análises de impacto e risco para identificar ameaças e proteger ativos cruciais.
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
O documento estabelece diretrizes e controles para a segurança da informação de acordo com a norma ISO 27001. Inclui políticas sobre segurança, gestão de ativos, segurança física, operações e recursos humanos para assegurar a confidencialidade, integridade e disponibilidade da informação da organização.
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
1. O documento discute os princípios fundamentais de segurança da informação, incluindo confidencialidade, integridade e disponibilidade.
2. Também aborda conceitos como autenticidade, não-repúdio, redundância, backups e encriptação que são importantes para proteger a informação.
3. Fornece exemplos de como esses princípios podem ser implementados em sistemas computacionais para garantir a segurança da informação.
Apostila sobre Auditoria em tecnologia da informação, elaborada pelo professor André Campos. Encontre outros materiais no portal GSTI: www.portalgsti.com.br
1. O documento discute os aspectos importantes na elaboração de uma Política de Segurança da Informação (PSI) em uma organização. 2. Inclui detalhes sobre como formar um comitê de segurança, partes que devem compor o documento final da PSI e a importância de oficializar a política. 3. Também fornece exemplos de estruturas comuns para PSI, incluindo diretrizes, normas e procedimentos.
A norma ISO 27002 fornece diretrizes e princípios para implementar a segurança da informação e estabelecer um sistema de gestão de segurança da informação. Ela cobre 15 áreas diferentes como política de segurança, gestão de ativos, segurança física, operações, acesso, aquisição de sistemas, incidentes, continuidade e conformidade. O objetivo é ajudar organizações a gerenciar riscos de segurança da informação e proteger ativos de informação.
Este documento fornece uma introdução à família de normas ISO/IEC 27000, que tratam da gestão da segurança da informação. Ele define normas, objetivos da normalização, quem faz normas e apresenta um diagrama da família ISO/IEC 27000.
O documento apresenta uma introdução sobre segurança da informação, definindo o que é, por que é necessária e como estabelecer requisitos. Apresenta também os principais pontos para o início de um programa de segurança, como política, atribuição de responsabilidades, conscientização e análise de riscos.
O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
This document contains two website URLs. The first URL is for a blog called "mrgold70" on blogspot.com. The second URL is for a website called "music-bazaar" that appears to be related to buying and selling music.
Projeto Capas de Caderno - Apresentação PréviaFabio Fermo
O documento apresenta o projeto de desenvolvimento de estampas para cadernos com tema Art Deco e fragmentação. Três padrões principais são desenvolvidos com variações de cores como preto, tons pastéis, vermelhos, laranjas e azuis. As estampas serão aplicadas em cadernos de pequeno porte para anotações, com foco em público feminino. Protótipos físicos serão produzidos para validar o design final.
A série animada como divulgador culturalBruno Santos
Apresentação referente ao trabalho de conclusão de curso de graduação em Publicidade e Propaganda, que analisou a exposição de valores culturais por meio de séries animadas
El Paleolítico duró aproximadamente 5 millones de años e incluyó varias especies humanas como Homo habilis, Homo erectus y Homo neanderthalensis. Los humanos del Paleolítico vivían en pequeñas tribus y sobrevivían cazando y recolectando, utilizando herramientas de piedra, madera y hueso. Creían en la existencia de múltiples espíritus.
Programa de Actividades do Museu de São Roque de Lisboa - Outubro a Dezembro...Domenico Condito
O documento apresenta uma lista de títulos de livros, músicas e outras obras relacionadas à história, cultura e música de Portugal e da Igreja Católica. Alguns títulos incluem "Tarrafal. Memórias do campo da morte lenta", "Época de Ouro da Polifonia Ibérica" e "Música para as matinas de Natal".
The document references killing time and having a kill list, as well as mentioning the word "social" and providing a website URL for an app called "killr". The document's brief content involving killing and a kill list suggests it may relate to planning to harm or kill people, though this is not entirely clear without more context.
O documento discute a segurança da informação e normas relacionadas como BS 7799, ISO/IEC 17799, NBR ISO 17799. Apresenta a história e detalhes dessas normas. Também discute porque a segurança da informação é necessária para proteger os ativos de informação de uma organização.
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
O documento discute a implementação de segurança em redes de automação industrial utilizando padrões abertos, como o ANSI/ISA-99. Ele apresenta o modelo de zonas e condutos da norma para agrupar ativos lógicos e definir políticas de segurança. O documento também descreve a aplicação deste modelo em uma refinaria, dividindo seus sistemas em zonas baseadas em funções operacionais e requisitos de segurança.
O documento discute a segurança da informação e diferentes normas relacionadas, como BS 7799, ISO/IEC 17799 e NBR ISO 17799. Apresenta breve histórico dessas normas e conceitos-chave da segurança da informação, como a preservação da confidencialidade, integridade e disponibilidade da informação. Também discute porque a segurança da informação é necessária em meio aos riscos cibernéticos modernos.
Este documento apresenta os objetivos e conteúdo de um curso e-learning sobre a norma NBR ISO/IEC 27001:2006. O curso visa ensinar os requisitos da norma e como implantar e manter um sistema de gestão de segurança da informação eficaz. O conteúdo programático inclui módulos sobre conceitos de segurança da informação, visão geral das normas ISO 27001 e ISO 17799, e interpretação dos requisitos da norma ISO 27001.
Implementando segurança de redes com brazilfw firewall e routerAnderson Pontes
O documento discute a implementação de segurança em redes de computadores de pequenas empresas utilizando o software livre BrazilFW. Ele descreve como o BrazilFW, um firewall e roteador em mini Linux, pode fornecer segurança de rede de baixo custo para a empresa fictícia Router Engenharia, protegendo sua rede contra ataques cibernéticos de forma eficaz.
Normas de Segurança da Informação - Família ISO/IEC 27000Kleber Silva
O documento discute as normas ISO/IEC 27000 relacionadas à gestão da segurança da informação. Apresenta as principais normas da série ISO/IEC 27000, como a ISO/IEC 27001 que define requisitos para um Sistema de Gestão da Segurança da Informação e a ISO/IEC 27002 que estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a segurança da informação. Discutem também outras normas como a ISO/IEC 27003 sobre implementação, ISO/IEC 27004 sobre monitoramento e
Especificações da ISO para gestão de Segurança da InformaçãoLaís Berlatto
O documento discute as normas ISO/IEC 17799 e ISO/IEC 27002 para gestão de segurança da informação. Estas normas fornecem recomendações para a proteção de ativos de informação garantindo sua confidencialidade, integridade e disponibilidade através de controles em políticas, pessoas, ambiente físico, operações, acesso, sistemas e continuidade dos negócios.
Este documento discute a segurança da informação em ambientes corporativos com foco na gestão de segurança com base no framework ITIL V2. Aborda três camadas de segurança - física, lógica e humana - e como documentos foram preparados com base em um trabalho de conclusão de curso sobre gestão de segurança da informação em redes de computadores.
Este documento discute a segurança da informação em ambientes corporativos considerando a expansão das redes de computadores e as vulnerabilidades associadas. Aborda ferramentas e técnicas de segurança divididas em camadas física, lógica e humana com base no framework ITIL V2.
Este documento discute a segurança da informação em ambientes corporativos com foco na gestão de segurança com base no framework ITIL V2. Aborda três camadas de segurança - física, lógica e humana - e como documentos foram preparados com base em um trabalho de conclusão de curso sobre gestão de segurança da informação em redes de computadores.
Este documento apresenta um projeto de revisão da norma ABNT NBR ISO/IEC 27002 sobre controles de segurança da informação. Ele descreve a estrutura da norma, incluindo os objetivos, escopo, referências normativas e termos e definições. Além disso, fornece diretrizes gerais sobre gestão de riscos, seleção e implementação de controles de segurança da informação.
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
Este documento apresenta uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002. A metodologia simplifica o processo de planejamento, implantação, análise crítica e modificação do sistema, permitindo classificar informações, identificar riscos e selecionar controles de segurança. A metodologia visa tornar a implantação de um SGSI acessível a qualquer organização.
Este documento apresenta as diretrizes para o processo de gestão de riscos de segurança da informação de acordo com a norma ABNT NBR ISO/IEC 27001. Ele descreve as atividades de definição do contexto, análise/avaliação de riscos, tratamento de riscos, aceitação de riscos, comunicação de riscos e monitoramento de riscos. O documento também fornece anexos com informações adicionais sobre esses processos.
Este documento apresenta um projeto de revisão de norma técnica brasileira sobre sistemas de gestão de segurança da informação. Ele foi elaborado por uma comissão de estudo da ABNT com participação de várias organizações. O documento descreve os objetivos e escopo da norma, sua estrutura e processo de revisão, e fornece diretrizes e requisitos para o estabelecimento, implementação, monitoramento e melhoria contínua de sistemas de gestão de segurança da informação.
O documento discute normas e padrões de segurança da informação como ISO 27001, COBIT e ITIL. A norma ISO 27001 define padrões para gestão de segurança da informação cobrindo tópicos como política de segurança, controle de acesso, segurança física e gestão de continuidade.
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
O documento discute normas de segurança da informação e a estrutura da norma ABNT NBR ISO/IEC 27002. Ele apresenta os objetivos e requisitos gerais da norma, incluindo a orientação da direção, organização interna, segurança em recursos humanos, gestão de ativos e controle de acesso.
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
Conheça alguns dos desafios atuais da segurança da informação, os conceitos por trás de uma ferramenta SIEM e como ela pode apoiar a resposta a incidentes de segurança.
Resposta a Incidentes de Segurança com ferramentas SIEM
Alinhando abnt 17799_e_27001
1. Alinhando ABNT-NBR-ISO/IEC 17799 e 27001
para a Administração Pública -USP
César Augusto Asciutti
Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br
Resumo
Este artigo apresenta uma breve descrição sobre a abrangência das normas técnicas brasileira sobre segurança
da informação. Apresenta também um novo modelo arquitetônico para segurança de redes descrito pela
associação internacional de segurança da informação. Finalmente apresenta uma ferramenta de trabalho que
auxilia o responsável pela segurança computacional do instituto/departamento/órgão a planejar as implantações
necessárias em atendimento às normas brasileiras.
Palavras-Chave (exemplo): Segurança Computacional, NBR-17799 e NBR27001, Norma Técnica, Brigada
de Segurança da Informação.
1. Introdução informação tem valor e deve ser protegido. As pessoas,
seus conhecimentos, também são ativos, marca,
Inicialmente devemos esclarecer o porquê de imagem, também são ativos, todos devem ser
adotarmos determinadas normas, para posteriormente preservados e mantidos pelo valor que todos
entendermos a sua abrangência e a sua aplicabilidade. representam.
Após este entendimento do porque adotarmos ações Aqui, mais do que em qualquer lugar, o
condizentes com as normas, passaremos a observar a conhecimento é o ativo, além de ativo, conhecimento é
norma sobre a analise dos grandes grupos de ação o “produto” que a universidade “comercializa”. É na
abrangidos tanto pela NBR-17799 como pela NBR- transferência deste conhecimento que reside a sua
27001. Posteriormente apresentaremos uma ferramenta missão, assim como também é sua missão, gerar mais
de trabalho que facilita a visualização da situação na conhecimento.
qual o instituto encontra-se parametrizado com a O conhecimento gerado na USP está nas pessoas,
norma e os objetivos propostos para adaptação das mas também está nos computadores, sejam servidores
operações com as exigências normativas. ou computadores pessoais, sendo nos computadores
Normas são entendidas como um conjunto de regras que armazenamos estes ativos/conhecimentos. É no
ou orientações que visam qualidade, na atuação de ambiente computacional que é armazenado,
uma tarefa. As normas em estudo buscam tornar o manipulado, organizado, construído e disponibilizado
ambiente computacional das empresas, neste caso os grande parte deste ativo/conhecimento. Defender de
institutos ou órgãos ligados à USP, mais seguros com ataques externos e ataques internos é o objetivo da
relação à mitigar os incidentes computacionais, além segurança computacional
de orientar sobre ações a serem tomadas, quando estes
incidentes ocorrerem. 1.2 Tecnologia por si só não garante segurança da
informação, diz estudo Módulo Security News-30 Out 2006 -
1.1 Motivação para um ambiente seguro. “-Os dois itens mais importantes na hora de manter
Aplicar normas de segurança em um ambiente as informações da empresa em segurança são: a
computacional, é mais do que modismo, é uma forma elaboração de políticas de segurança e o
de garantir a existência de coerência nas ações dos gerenciamento de suporte adequados, seguido do nível
coordenadores e executores das tarefas de de conscientização dos funcionários. Este é o resultado
administração dos ambientes computacionais. Adotar de um estudo conduzido pela ONG educacional
padrões reconhecidamente eficientes minimiza-se especializada em certificar profissionais de segurança
problemas de incidentes relacionados às operações The International Information Systems Security
sustentadas por computadores. Certification Consortium, em parceria com a
Inicialmente devemos entender que informação é consultoria IDC.“
um dos ativo de uma empresa/instituto. Como ativo, a
2. 1.3 Nova Arquitetura para segurança de rede. Um breve histórico da evolução da norma até
Proteger estruturas computacionais com aplicação chegar a ISO 27001:
de barreiras por camadas é o modelo mais usual para a - 1995: publicada a primeira versão da BS 7799-1
blindagem das informações e dos recursos da rede. (BS 7799-1:1995 - Tecnologia da Informação - Código
Com grande parte dos serviços e ambientes de prática para gestão da segurança da informação)
computacionais suportado pela ethernet, novos - 1998: publicada a primeira versão da BS 7799-2
modelos de barragens estão sendo propostos. (BS 7799-2:1998 - Sistema de gestão da Segurança da
Informação - Especificações e guia para uso)
- 1999: publicada uma revisão da BS 7799-1 (BS
7799-1:1999 - Tecnologia da Informação - Código de
prática para gestão da segurança da informação)
- 2000: publicada a primeira versão da norma
ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da
Informação - Código de prática para gestão da
segurança da informação também referenciada como
BS ISO/IEC 17799:2000)
- 2001: publicada a primeira versão da norma no
Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC
17799:2001 - Tecnologia da Informação - Código de
prática para gestão da segurança da informação)
- 2002: publicada revisão da norma BS 7799 parte
2 (BS7799-2:2002 - Sistema de gestão da Segurança
da Informação - Especificações e guia para uso).
- Agosto/2005: publicada a segunda versão da
Segurança por zona em três camadas, (ISSA Journal, abril 2006) norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC
17799:2005 - Tecnologia da Informação - Código de
prática para gestão da segurança da informação);
O modelo que apresentarei é uma nova abordagem
- Outubro/2005: publicada a norma ISO 27001
arquitetônica para este bloqueio. A proposta
(ISO/IEC 27001:2005 - Tecnologia da Informação -
encontrada em publicações específicas, apresenta uma
Técnicas de segurança - Sistema de gestão da
nova forma de blindar os serviços e os recursos.
Segurança da Informação - Requisitos).
Baseado em virtualização do serviços e recursos,
podemos formar uma barreira única de acesso
2.1 Tópicos Relevantes da ABNT NBR ISO/IEC-
facilitando os serviços de controle e manutenção desta
17799
barreira. Ao virtualizar o data center, estas barreiras
Segurança para sistemas de informações foi um dos
facilitam o planejamento de ações minimizando os
primeiros itens a definirem padrões. A gerência de
recursos oferecidos aos essencialmente necessários.
segurança da informação visa identificar os riscos e
implantar medidas que de forma efetiva tornem estes
riscos gerenciáveis e minimizados.
A NBR ISO IEC 17799:2005 é um código de
práticas de gestão de segurança da informação. Sua
importância pode ser dimensionada pelo número
crescente de pessoas e variedades de ameaças a que a
informação é exposta na rede de computadores.
2.2 Os objetivos explícitos desta norma são:
Estabelecer um referencial para as organizações
desenvolverem, implementarem e avaliarem a gestão
da segurança de informação.
Em sua documentação a ABNT NBR-ISO/IEC-
Nova Arquitetura de segurança, usuários com acesso por rede ao
Virtual Data Center. (ISSA Journal, abril 2006)
17799:2005 aborda 11 tópicos principais:
• 1. Política de segurança - onde descreve a
importância e relaciona os principais assuntos que
devem ser abordados numa política de segurança.
• 2. Segurança organizacional - aborda a estrutura
2. Entendendo a NBR 17799 de uma gerência para a segurança de informação,
assim como aborda o estabelecimento de
2.2 Linha do Tempo da Norma responsabilidades incluindo terceiros e fornecedores
ISO /IEC 17799:2000 & ISO/IEC 27001:2005 de serviços.
3. • 3. Classificação e controle de ativos de c-) monitoração e analise crítica do desempenho e
informação - trabalha a classificação, o registro e o eficácia do SGSI; e
controle dos ativos da organização. d-) melhoria contínua baseada em medições
• 4. Segurança em pessoas - tem como foco o risco objetivas.
decorrente de atos intencionais ou acidentais feitos por Para a execução e implantação desta norma, é
pessoas. Também é abordada a inclusão de sugerido uma atuação baseada no modelo PDCA.
responsabilidades relativas à segurança na descrição "Plan-Do-Check-Act"(PDCA)
dos cargos, a forma de contratação e o treinamento em
assuntos relacionados à segurança.
• 5. Segurança ambiental e física - aborda a
necessidade de se definir áreas de circulação restrita e
a necessidade de proteger equipamentos e a infra-
estrutura de tecnologia de Informação.
• 6. Gerenciamento das operações e
comunicações - aborda as principais áreas que devem
ser objeto de especial atenção da segurança. Dentre
estas áreas destacam-se as questões relativas a
procedimentos operacionais e respectivas
responsabilidades, homologação e implantação de “Plan” – Planejar – Estabelecer o SGSI –
sistemas, gerência de redes, controle e prevenção de Estabelecer a política, objetivos, processos e
vírus, controle de mudanças, execução e guarda de procedimentos do SGSI, relevantes para a gestão de
backup, controle de documentação, segurança de riscos e a melhoria da segurança da informação para
correio eletrônico, entre outras. produzir resultados de acordo com as políticas e
• 7. Controle de acesso - aborda o controle de objetivos globais de uma organização.
acesso a sistemas, a definição de competências, o “Do” – Fazer – Implementar e Operar o SGSI -
sistema de monitoração de acesso e uso, a utilização de Implementar e operar as políticas, controles, processos
senhas, dentre outros assuntos. e procedimentos do SGSI.
• 8. Desenvolvimento e manutenção de sistemas - “Check” – Checar/Monitorar/Analisar Criticamente
são abordados os requisitos de segurança dos sistemas, – Avaliar e, quando aplicável, medir o desempenho de
controles de criptografia, controle de arquivos e um processo frente à política, objetivos e experiências
segurança do desenvolvimento e suporte de sistemas. práticas do SGSI e apresentar os resultados para a
• 9. Gestão de incidentes de segurança - incluída analise crítica pela direção.
na versão 2005, apresenta dois itens: Notificação de “Act” – Agir – Manter e melhorar o SGSI –
fragilidades e eventos de segurança da informação e Executar as ações corretivas e preventivas, com base
gestão de incidentes de segurança da informação e nos resultados da auditoria interna do SGSI e da
melhorias. análise crítica pela direção ou outra informação
• 10. Gestão da continuidade do negócio - reforça pertinente, para alcançar a melhoria contínua do SGSI.
a necessidade de se ter um plano de continuidade e (ABNT ISO/IEC-27001)
contingência desenvolvido, implementado, testado e
atualizado. 3.1 Norma ABNT NBR ISO/IEC-27001-2005
• 11. Conformidade - aborda a necessidade de “- A nova família da série ISO IEC 27000-27009
observar os requisitos legais, tais como a propriedade está relacionada com os requisitos mandatários da
intelectual e a proteção das informações de clientes. ISO/IEC 27001:2005, como, por exemplo, a definição
do escopo do Sistema de Gestão da Segurança da
3. Entendendo a NBR 27001 Informação, a avaliação de riscos, a identificação de
ativos e a eficácia dos controles implementados.”
3.1 Processo de Gestão (Módulo Security- acesso 01/11/2006 -
A abordagem de processo para a gestão da http://www.modulo.com.br/checkuptool/artigo_15.htm)
segurança da informação apresentada nesta norma Esta Norma promove a adoção de uma abordagem
encoraja que seus usuários enfatizem a importância de: de processo para estabelecer e implementar, operar,
a-) entendimento dos requisitos de segurança da monitorar, analisar criticamente, manter e melhorar o
informação de uma organização e da necessidade de SGSI- Sistema de Gerenciamento da Segurança da
estabelecer uma política e objetivos para a segurança Informação, de uma organização.
da informação; Para esta abordagem, a norma orienta à observação
b-) implantação e operação de controles para de um conjunto de ações e tarefas. Estas ações devem
gerenciar os riscos de segurança da informação de uma ser planejadas visando à eficiência de sua aplicação.
organização no contexto dos riscos de negócio globais Destaco como pontos importantes para a
da organização; aplicabilidade da norma as ações referidas em 3.2,
destaco ainda que todas as ações propostas devam ser
4. discutidas e aperfeiçoadas em conjunto com os Desenhar um mapa com estes requisitos, seus
usuários envolvidos. Assim o sendo, a aplicabilidade desdobramentos, suas ações, as ações já implantadas
torna-se um consenso e uma regra apoiada por todos. as em implantação as primordiais, as polêmicas,
Obter o envolvimento e aprovação da direção é outro facilita as decisões necessárias.
ponto fundamental para a adoção da regra.
4.1 Preparação dos Requisitos
3.2 Tabela dos principais requisitos referenciados O mapa conceitual destes requisitos deve refletir a
na ABNT-NBR-27001 ligação entre as ações identificadas e os requisitos
O planejamento das ações relativas à norma deve descritos nas normas.
atender a um conjunto de requisitos. Na tabela a seguir Utilizando de cores, símbolos, marcas, sinais e
apresento alguns destes macro requisitos. outros, o mapa torna claros os objetivos do plano de
ação.
Requisitos gerais
4.2 - Estabelecendo e Gerenciando o SGSI. 4.2 Preparação do Mapa
4.2.1 - Estabelecer o SGSI. O “Mapa Conceitual” construído a partir destes
4.2.2 - Implementar e operar o SGSI. requisitos deve refletir a ligação entre as ações
4.2.3 - Monitorar e analisar criticamente o identificadas e os requisitos normativos.
SGSI. A construção do Mapa de Segurança deve observar
4.2.4 - Manter e melhorar o SGSI. a área sobre a qual se quer atuar, levando-se em conta
4.3 – Requisitos de Documentação a mais abrangente e completa avaliação como foco do
4.3.1 – A documentação de SGSI deve levantamento e desenho do SGSI.
incluir. (disponibilize, publique, torne Para a construção do SGSI observamos a mais
público) completa avaliação para mapearmos a área de atuação
4.3.2 – Controle de documentos. desejada. Devemos também planejar as etapas de
(disponibilize, publique, torne público) implantação seguimentando o Mapa de Atuação, de
4.3.3 –Controle de registros uma forma aplicável levando-se em conta sempre o
grau de maturidade existente no ambiente de sua
5 – Responsabilidade da direção.
aplicação, “Não ser mais realista que o Rei”,
5.1 – Comprometimento da direção
identificada no levantamento do mapa da situação
5.2 – Gestão de Risco atual de maturidade para segurança.
5.2.1 – Provisão de Recursos. O “Mapa” deve conter informações que permitam
5.2.2 – Treinamento, conscientização e identificar ações facilitadoras para a pulverização da
competência cultura de segurança da informação como a construção
6 – Auditorias internas. de uma “Brigada de Segurança da Informação” nos
6.1 – Questões a serem auditadas. moldes de uma brigada de incêndio, com o objetivo de
7 – Analise crítica do SGSI. “Pulverizar e Conscientizar” sobre as práticas de
7.1 – Analisar com periodicidade, ao menos segurança da Informação.
uma vez por ano. Deve constar no “Mapa” às ações de divulgação
7.2 - Entradas para analise crítica. planejadas para atingir as etapas previstas no SGSI,
7.3 – Saídas da analise crítica. devendo ainda desenhar os modelos de “Documentos
8 – Melhoria do SGSI. Padrão” que objetivam a divulgação bem como os
8.1 – Melhoria continuada. locais de afixação destes avisos facilitando a
8.2 – Ação corretiva. pulverização dos conceitos de segurança.
8.3 – Ação preventiva. Deverá ainda conter o plano de treinamento que
Estes macro requisitos devem ser observados e será aplicado, contendo conteúdos, públicos alvos e
seguidos para a composição do SGSI. possíveis datas para estas ações. Ao planejarmos os
treinamentos, devemos fazê-lo para todos os níveis e
4. Ferramenta para trabalhar normalizado todos os envolvidos, Docentes, Discentes,
Funcionários. Todas estas ações deverão estar contidas
Elaborar um plano sobre segurança da informação no mapa de forma clara e objetiva, tornando-se uma
requer uma metodologia. A metodologia aqui ferramenta de trabalho e planejamento do SGSI.
apresentada relaciona as ações identificadas nas Ao término desta fase devemos ter em mãos dois
normas e as ações identificadas no ambiente foco da mapas, um relativo aos itens abrangidos pela
ação. normalização e um outro construído pela avaliação do
Obter com clareza as ações necessárias, as ações escopo pretendido com a geração destas regras, o
emergenciais, as ações facilitadoras, permite o SGSI.
planejamento do SGSI. A ferramenta proposta, além
de facilitar a visualização, facilita o acompanhamento
e a localização das etapas já decorridas do SGSI.
5. 4.3 Construção do Mapa 4.3 Aplicação do Mapa
Para a construção do mapa conceitual deve-se partir O “Mapa de Segurança” como ferramenta para
pelo objeto a ser construído, o SGSI, qual deve rápida visualização do SGSI adotado, deve ficar
conectar-se aos requisitos exigidos pelas normas. exposto em lugar visível e de fácil acesso aos
A junção dos dois “Mapas” apresentará um mapa envolvidos diretamente na implantação do SGSI,
onde facilita a localização das ações do plano e os assim como poderá ser apresentado etapa por etapa aos
requisitos das normas. demais membros da comunidade envolvida na
Podemos então, utilizando-se de cores, símbolos, implantação do SGSI.
marcas, sinais e outros métodos demarcadores de
posição, utilizar o mapa com uma ótica mais clara para 5. Conclusão
qualquer leitor, dos objetivos do plano de ação.
Administrar ambientes computacionais implica em
atender as normas e diretrizes da organização. A não
conformidade às normas ou o descumprimento ou a
não observância implica em penalização legal por
omissão a estas. A alegação de desconhecimento não
tem valor legal.
Referências
ABNT NBR ISO/IEC27001 de 03/2006
ABNT NBR ISO/IEC17799 de 2001
ABNT NBR ISO/IEC 13335-1:2004
ABNT NBR ISO/IEC TR 18044-1:2004
ABNT NBR ISO/IEC Guia 73:2005]
ISSA-Information System Security Association Journal.
Módulo Security News -visitado em 30 Out 2006–
http://www.modulo.com.br/index.jsp?page=3&catid=7&o
bjid=4885&pagecounter=0&idiom=0
Anexo 1
Vocabulário referencial para SI
Ativo – qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]
Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004]
Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não
autorizados. [ISO/IEC 13335-1:2004]
Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras
propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT
NBR ISO/IEC 17799:2005]
Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível
violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser
relevante para a segurança da informação. [ISO/IEC TR 18044-1:2004]
Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados,
que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC
TR 18044-1:2004]
SGSI – Sistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do
negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
(nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas,
procedimentos, processos e recursos).
Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC 13335-1:2004]
Risco residual – risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005]
Aceitação do risco – decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005]
Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005]
Análise/Avaliação de riscos – processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005]
Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
[ABNT ISO/IEC Guia 73:2005]
Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos
geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT
ISO/IEC Guia 73:2005]
Tratamento do risco – processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005]
Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e
aplicáveis ao SGSI da organização.