O documento discute as normas de segurança da informação ISO 17799 e BS 7799. A ISO 17799 fornece recomendações para gestão de segurança da informação, cobrindo aspectos como segurança organizacional, física, de acesso, continuidade e conformidade. A BS 7799-2 trata da certificação de segurança em organizações.
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
Este documento discute a importância da segurança da informação e fornece diretrizes para o desenvolvimento de uma política de segurança da informação. Ele explica que a segurança da informação envolve a proteção de ativos de informação contra ameaças por meio de controles como políticas, processos e hardware/software. Também fornece exemplos de itens que devem ser abordados em uma política de segurança, como uso da rede, senhas, e-mail e controle de acesso físico.
Este documento define uma política de segurança para uma organização educacional, visando garantir a confidencialidade, integridade e disponibilidade das informações. A política estabelece normas para acesso físico e lógico, classificação e gestão de ativos, operações de rede e internet, controle de acesso e incidentes de segurança. Fatores como apoio da administração e atualizações periódicas são essenciais para o sucesso da política.
Gestao da politica de segurança e operação da informacaoRui Gomes
1) O documento discute as melhores práticas para gestão da segurança da informação de acordo com as normas ISO/IEC 17799 e ISO/IEC 27001.
2) Inclui uma explicação detalhada dos 11 controles de segurança da informação definidos pela norma ISO/IEC 17799.
3) Conclui que a implementação das normas exige mudanças significativas nas organizações, mas minimiza riscos e permite a certificação da gestão da segurança.
Este capítulo apresenta a evolução da segurança da informação ao longo da história, desde as primeiras formas de registro de informação na pré-história até as modernas tecnologias digitais. Também define o conceito de informação e a importância de sua proteção para as organizações. Por fim, introduz os conceitos básicos de segurança da informação.
1. O documento discute os aspectos importantes na elaboração de uma Política de Segurança da Informação (PSI) em uma organização. 2. Inclui detalhes sobre como formar um comitê de segurança, partes que devem compor o documento final da PSI e a importância de oficializar a política. 3. Também fornece exemplos de estruturas comuns para PSI, incluindo diretrizes, normas e procedimentos.
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
O documento estabelece diretrizes e controles para a segurança da informação de acordo com a norma ISO 27001. Inclui políticas sobre segurança, gestão de ativos, segurança física, operações e recursos humanos para assegurar a confidencialidade, integridade e disponibilidade da informação da organização.
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
1) O documento apresenta os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
2) A norma descreve os requisitos gerais para o SGSI, incluindo a necessidade de documentação e controle de documentos.
3) As responsabilidades da direção em relação ao SGSI são detalhadas, incluindo comprometimento, gestão de recursos, auditorias internas e análise crítica.
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
Este documento discute a importância da segurança da informação e fornece diretrizes para o desenvolvimento de uma política de segurança da informação. Ele explica que a segurança da informação envolve a proteção de ativos de informação contra ameaças por meio de controles como políticas, processos e hardware/software. Também fornece exemplos de itens que devem ser abordados em uma política de segurança, como uso da rede, senhas, e-mail e controle de acesso físico.
Este documento define uma política de segurança para uma organização educacional, visando garantir a confidencialidade, integridade e disponibilidade das informações. A política estabelece normas para acesso físico e lógico, classificação e gestão de ativos, operações de rede e internet, controle de acesso e incidentes de segurança. Fatores como apoio da administração e atualizações periódicas são essenciais para o sucesso da política.
Gestao da politica de segurança e operação da informacaoRui Gomes
1) O documento discute as melhores práticas para gestão da segurança da informação de acordo com as normas ISO/IEC 17799 e ISO/IEC 27001.
2) Inclui uma explicação detalhada dos 11 controles de segurança da informação definidos pela norma ISO/IEC 17799.
3) Conclui que a implementação das normas exige mudanças significativas nas organizações, mas minimiza riscos e permite a certificação da gestão da segurança.
Este capítulo apresenta a evolução da segurança da informação ao longo da história, desde as primeiras formas de registro de informação na pré-história até as modernas tecnologias digitais. Também define o conceito de informação e a importância de sua proteção para as organizações. Por fim, introduz os conceitos básicos de segurança da informação.
1. O documento discute os aspectos importantes na elaboração de uma Política de Segurança da Informação (PSI) em uma organização. 2. Inclui detalhes sobre como formar um comitê de segurança, partes que devem compor o documento final da PSI e a importância de oficializar a política. 3. Também fornece exemplos de estruturas comuns para PSI, incluindo diretrizes, normas e procedimentos.
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
O documento estabelece diretrizes e controles para a segurança da informação de acordo com a norma ISO 27001. Inclui políticas sobre segurança, gestão de ativos, segurança física, operações e recursos humanos para assegurar a confidencialidade, integridade e disponibilidade da informação da organização.
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
1) O documento apresenta os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
2) A norma descreve os requisitos gerais para o SGSI, incluindo a necessidade de documentação e controle de documentos.
3) As responsabilidades da direção em relação ao SGSI são detalhadas, incluindo comprometimento, gestão de recursos, auditorias internas e análise crítica.
A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.
Este documento discute a Norma Brasileira de Segurança da Informação NBR ISO/IEC 17799 e a norma internacional ISO/IEC 27001. Apresenta os principais tópicos cobertos pelas normas, incluindo políticas de segurança, riscos organizacionais, controle de ativos, segurança de pessoas e ambiental. Também fornece uma ferramenta para mapear os requisitos das normas e planejar a implantação para atendimento às mesmas.
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
1. Este trabalho apresenta um estudo de caso realizado na Companhia Hidro Elétrica do São Francisco (CHESF) para analisar a utilização de políticas de segurança de acordo com a norma ISO/IEC 27002.
2. Foram realizadas entrevistas e questionários com funcionários do departamento de Tecnologia da Informação da CHESF para avaliar o nível de entendimento sobre a política de segurança adotada.
3. Os resultados mostraram a importância de descrever claramente a política de segurança para os funcionários, de forma que eles tenham con
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
O documento apresenta uma comparação entre as normas ISO 31000 e ISO 27005 para gestão de riscos. A norma ISO 31000 fornece princípios e diretrizes gerais para gestão de riscos, enquanto a ISO 27005 foca especificamente na gestão de riscos de segurança da informação. O autor analisa os conceitos apresentados em cada norma e avalia o nível de aderência entre elas.
Este documento apresenta políticas de segurança para normatizar e melhorar a segurança da empresa, incluindo autenticação com senhas seguras, políticas de email e internet, uso de estações de trabalho, segurança social e prevenção a vírus. O não cumprimento das políticas acarretará em sanções administrativas ou desligamento.
O documento apresenta uma introdução sobre segurança da informação, definindo o que é, por que é necessária e como estabelecer requisitos. Apresenta também os principais pontos para o início de um programa de segurança, como política, atribuição de responsabilidades, conscientização e análise de riscos.
Este documento discute as políticas de segurança de uma organização, incluindo a necessidade de analisar riscos e proteger recursos como hardware, software e dados. Ele também cobre os objetivos de informar usuários sobre suas responsabilidades e oferecer referências para configurar sistemas de forma segura.
Política de segurança da informação diretrizes geraisAdriano Lima
Este documento apresenta a Política de Segurança da Informação da Agência Estadual de Tecnologia da Informação (ATI) do estado de Pernambuco. Ele define as atribuições e responsabilidades do Comitê Gestor de Segurança, da Presidência da ATI, da Diretoria Executiva de Tecnologia da Informação e Comunicação e da Unidade de Segurança da Informação no que se refere à segurança da informação. Além disso, estabelece diretrizes gerais sobre gestão de segurança da informação, gestão de riscos, plano
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
O documento apresenta uma série de aulas sobre segurança da informação e normas relacionadas. As aulas discutem conceitos como normas, objetivos da normalização, ISO 27000, ISO 27001, ISO/IEC 27002 e sua estrutura e aplicação prática em diferentes áreas da segurança da informação como política, recursos humanos, ativos, acesso, comunicações e gestão de incidentes.
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
O documento discute conceitos de auditoria e segurança de sistemas, incluindo definições de auditoria, tipos de auditoria, objetivos de controle, equipe de auditoria e requisitos de conhecimento.
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
O documento discute normas de segurança da informação e a estrutura da norma ABNT NBR ISO/IEC 27002. Ele apresenta os objetivos e requisitos gerais da norma, incluindo a orientação da direção, organização interna, segurança em recursos humanos, gestão de ativos e controle de acesso.
Nota de aula seguranca da informacao - politica de segurança da informaçãofelipetsi
O documento discute mitos comuns sobre segurança da informação e fornece estatísticas sobre incidentes cibernéticos. Ele explica que softwares de segurança como antivírus não são suficientes sozinhos e que todos, incluindo usuários domésticos, estão vulneráveis a ataques. Também destaca que ferramentas de hacking estão facilmente disponíveis online e que Macs também podem ser alvo, contrariando o mito de que só PCs são afetados.
Política de segurança da informação FícticiaVitor Melo
Essa política de segurança da informação foi criada para atender a atividade final prática da cadeira de mesmo nome na Pós-Graduação em Segurança da Informação que fiz no Centro Universitário de João Pessoa - UNIPÊ.
Apostila auditoria e segurança de sistemasCapitu Tel
O documento discute conceitos de auditoria e segurança da informação. Apresenta definições de auditoria, auditor, objetivos, âmbito e áreas de auditoria. Também descreve mecanismos e ferramentas de segurança como criptografia, firewalls e protocolos seguros. Discorre sobre a importância da segurança da informação para empresas e sociedade.
A norma ISO 27002 fornece diretrizes e princípios para implementar a segurança da informação e estabelecer um sistema de gestão de segurança da informação. Ela cobre 15 áreas diferentes como política de segurança, gestão de ativos, segurança física, operações, acesso, aquisição de sistemas, incidentes, continuidade e conformidade. O objetivo é ajudar organizações a gerenciar riscos de segurança da informação e proteger ativos de informação.
Este documento apresenta os objetivos e conteúdo de um curso e-learning sobre a norma NBR ISO/IEC 27001:2006. O curso visa ensinar os requisitos da norma e como implantar e manter um sistema de gestão de segurança da informação eficaz. O conteúdo programático inclui módulos sobre conceitos de segurança da informação, visão geral das normas ISO 27001 e ISO 17799, e interpretação dos requisitos da norma ISO 27001.
O documento discute conceitos fundamentais de segurança da informação aplicados a negócios, incluindo ativos de informação, vulnerabilidades, ameaças e impactos. Também aborda a importância da informação para o negócio e os princípios da segurança: disponibilidade, confidencialidade e integridade. Por fim, explica análises de impacto e risco para identificar ameaças e proteger ativos cruciais.
O documento discute três padrões importantes para segurança da informação: COBIT, ITIL e NBR 17799. COBIT fornece um framework para governança e gestão de TI alinhada aos objetivos de negócio. ITIL foca na entrega eficaz de serviços de TI. E NBR 17799 fornece boas práticas para gestão de segurança da informação.
1. O documento discute os princípios fundamentais de segurança da informação, incluindo confidencialidade, integridade e disponibilidade.
2. Também aborda conceitos como autenticidade, não-repúdio, redundância, backups e encriptação que são importantes para proteger a informação.
3. Fornece exemplos de como esses princípios podem ser implementados em sistemas computacionais para garantir a segurança da informação.
O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
O documento descreve os requisitos para implementar um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001. O SGSI deve ser estabelecido considerando o contexto dos riscos de negócio da organização e incluir atividades como análise de riscos, tratamento de riscos, auditorias internas, análise crítica pela direção e melhoria contínua. A direção deve fornecer recursos e comprometimento para o sucesso do SGSI.
A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.
Este documento discute a Norma Brasileira de Segurança da Informação NBR ISO/IEC 17799 e a norma internacional ISO/IEC 27001. Apresenta os principais tópicos cobertos pelas normas, incluindo políticas de segurança, riscos organizacionais, controle de ativos, segurança de pessoas e ambiental. Também fornece uma ferramenta para mapear os requisitos das normas e planejar a implantação para atendimento às mesmas.
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
1. Este trabalho apresenta um estudo de caso realizado na Companhia Hidro Elétrica do São Francisco (CHESF) para analisar a utilização de políticas de segurança de acordo com a norma ISO/IEC 27002.
2. Foram realizadas entrevistas e questionários com funcionários do departamento de Tecnologia da Informação da CHESF para avaliar o nível de entendimento sobre a política de segurança adotada.
3. Os resultados mostraram a importância de descrever claramente a política de segurança para os funcionários, de forma que eles tenham con
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
O documento apresenta uma comparação entre as normas ISO 31000 e ISO 27005 para gestão de riscos. A norma ISO 31000 fornece princípios e diretrizes gerais para gestão de riscos, enquanto a ISO 27005 foca especificamente na gestão de riscos de segurança da informação. O autor analisa os conceitos apresentados em cada norma e avalia o nível de aderência entre elas.
Este documento apresenta políticas de segurança para normatizar e melhorar a segurança da empresa, incluindo autenticação com senhas seguras, políticas de email e internet, uso de estações de trabalho, segurança social e prevenção a vírus. O não cumprimento das políticas acarretará em sanções administrativas ou desligamento.
O documento apresenta uma introdução sobre segurança da informação, definindo o que é, por que é necessária e como estabelecer requisitos. Apresenta também os principais pontos para o início de um programa de segurança, como política, atribuição de responsabilidades, conscientização e análise de riscos.
Este documento discute as políticas de segurança de uma organização, incluindo a necessidade de analisar riscos e proteger recursos como hardware, software e dados. Ele também cobre os objetivos de informar usuários sobre suas responsabilidades e oferecer referências para configurar sistemas de forma segura.
Política de segurança da informação diretrizes geraisAdriano Lima
Este documento apresenta a Política de Segurança da Informação da Agência Estadual de Tecnologia da Informação (ATI) do estado de Pernambuco. Ele define as atribuições e responsabilidades do Comitê Gestor de Segurança, da Presidência da ATI, da Diretoria Executiva de Tecnologia da Informação e Comunicação e da Unidade de Segurança da Informação no que se refere à segurança da informação. Além disso, estabelece diretrizes gerais sobre gestão de segurança da informação, gestão de riscos, plano
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
O documento apresenta uma série de aulas sobre segurança da informação e normas relacionadas. As aulas discutem conceitos como normas, objetivos da normalização, ISO 27000, ISO 27001, ISO/IEC 27002 e sua estrutura e aplicação prática em diferentes áreas da segurança da informação como política, recursos humanos, ativos, acesso, comunicações e gestão de incidentes.
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
O documento discute conceitos de auditoria e segurança de sistemas, incluindo definições de auditoria, tipos de auditoria, objetivos de controle, equipe de auditoria e requisitos de conhecimento.
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
O documento discute normas de segurança da informação e a estrutura da norma ABNT NBR ISO/IEC 27002. Ele apresenta os objetivos e requisitos gerais da norma, incluindo a orientação da direção, organização interna, segurança em recursos humanos, gestão de ativos e controle de acesso.
Nota de aula seguranca da informacao - politica de segurança da informaçãofelipetsi
O documento discute mitos comuns sobre segurança da informação e fornece estatísticas sobre incidentes cibernéticos. Ele explica que softwares de segurança como antivírus não são suficientes sozinhos e que todos, incluindo usuários domésticos, estão vulneráveis a ataques. Também destaca que ferramentas de hacking estão facilmente disponíveis online e que Macs também podem ser alvo, contrariando o mito de que só PCs são afetados.
Política de segurança da informação FícticiaVitor Melo
Essa política de segurança da informação foi criada para atender a atividade final prática da cadeira de mesmo nome na Pós-Graduação em Segurança da Informação que fiz no Centro Universitário de João Pessoa - UNIPÊ.
Apostila auditoria e segurança de sistemasCapitu Tel
O documento discute conceitos de auditoria e segurança da informação. Apresenta definições de auditoria, auditor, objetivos, âmbito e áreas de auditoria. Também descreve mecanismos e ferramentas de segurança como criptografia, firewalls e protocolos seguros. Discorre sobre a importância da segurança da informação para empresas e sociedade.
A norma ISO 27002 fornece diretrizes e princípios para implementar a segurança da informação e estabelecer um sistema de gestão de segurança da informação. Ela cobre 15 áreas diferentes como política de segurança, gestão de ativos, segurança física, operações, acesso, aquisição de sistemas, incidentes, continuidade e conformidade. O objetivo é ajudar organizações a gerenciar riscos de segurança da informação e proteger ativos de informação.
Este documento apresenta os objetivos e conteúdo de um curso e-learning sobre a norma NBR ISO/IEC 27001:2006. O curso visa ensinar os requisitos da norma e como implantar e manter um sistema de gestão de segurança da informação eficaz. O conteúdo programático inclui módulos sobre conceitos de segurança da informação, visão geral das normas ISO 27001 e ISO 17799, e interpretação dos requisitos da norma ISO 27001.
O documento discute conceitos fundamentais de segurança da informação aplicados a negócios, incluindo ativos de informação, vulnerabilidades, ameaças e impactos. Também aborda a importância da informação para o negócio e os princípios da segurança: disponibilidade, confidencialidade e integridade. Por fim, explica análises de impacto e risco para identificar ameaças e proteger ativos cruciais.
O documento discute três padrões importantes para segurança da informação: COBIT, ITIL e NBR 17799. COBIT fornece um framework para governança e gestão de TI alinhada aos objetivos de negócio. ITIL foca na entrega eficaz de serviços de TI. E NBR 17799 fornece boas práticas para gestão de segurança da informação.
1. O documento discute os princípios fundamentais de segurança da informação, incluindo confidencialidade, integridade e disponibilidade.
2. Também aborda conceitos como autenticidade, não-repúdio, redundância, backups e encriptação que são importantes para proteger a informação.
3. Fornece exemplos de como esses princípios podem ser implementados em sistemas computacionais para garantir a segurança da informação.
O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
O documento descreve os requisitos para implementar um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001. O SGSI deve ser estabelecido considerando o contexto dos riscos de negócio da organização e incluir atividades como análise de riscos, tratamento de riscos, auditorias internas, análise crítica pela direção e melhoria contínua. A direção deve fornecer recursos e comprometimento para o sucesso do SGSI.
boas-praticas-iii.pdf
Segurança de redes na internet e dados. regulamanto /Lei da proteção de dados. Segurança Nacional.
Cibersegurança e proteção de redes
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
O documento apresenta um resumo da aula sobre segurança e auditoria de sistemas. Ele discute a importância de organizar a segurança através de um modelo de gestão corporativa e comitês de segurança, e introduz conceitos como ativos tangíveis e intangíveis, motivação para segurança, normas e políticas de segurança.
Treinamento de Segurança do Trabalho NR -12 Autor Brasilio da Silva - (41)928...Brasilio da Silva
Este trabalho apresenta de forma resumida o conteúdo da NR 12, para que os profissionais envolvidos na tratativa deste tema junto as suas organizações possam obter um canal de informações pertinentes.
De qualquer maneira também me coloco a disposição para que caso alguns dos colegas necessitem de suporte / consultoria voltados a NR 12 que por favor me contatem.
Um forte abraço!!
O documento discute a importância da auditoria de sistemas de informação para garantir a segurança e integridade da informação nas empresas. Ele explica como a informação é um ativo valioso que requer proteção e como as políticas de segurança, treinamento de funcionários e auditoria dos sistemas podem ajudar a mitigar riscos.
Este documento apresenta um projeto de revisão da norma ABNT NBR ISO/IEC 27002 sobre controles de segurança da informação. Ele descreve a estrutura da norma, incluindo os objetivos, escopo, referências normativas e termos e definições. Além disso, fornece diretrizes gerais sobre gestão de riscos, seleção e implementação de controles de segurança da informação.
Este documento fornece diretrizes sobre as boas práticas de segurança a serem implementadas pelas organizações para cumprir com o Regulamento Geral de Proteção de Dados (RGPD). Inclui deveres e responsabilidades das organizações no que diz respeito à proteção de dados pessoais, respeito pelos direitos dos titulares de dados, e desenvolvimento de uma estratégia de segurança para o tratamento de dados pessoais. Também discute a classificação, priorização e monitorização de dados, potenciais ameaças, e vulnerabilidades dos ativos de
O documento discute a implementação de sistemas de gestão da segurança da informação de acordo com as normas ISO 27000. A norma ISO 27001 define os requisitos para um sistema de gestão de segurança da informação efetivo. A implementação deve seguir o ciclo PDCA de planejamento, implementação, verificação e ação para melhoria contínua.
Aplicação de sistemas de gestão da segurança da informação para startups no b...Thiago Rosa
Artigo cientifico da aula de Metodos de Pesquisa no Centro Universitário das Faculdades Metropolitanas Unidas sobre Sistemas de Gestão da Segurança da Informação para Startups no Brasil com base nas bibliográfias existentes
1. O documento discute mecanismos de controle de ameaças para preservar a disponibilidade, confidencialidade, integridade e autenticidade da informação, como controle de acesso, detecção de intrusos, criptografia e assinatura digital.
2. A norma ISO/IEC 27000 fornece um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação com base na gestão de riscos.
3. Um sistema de gestão de segurança da informação permite satisfazer
Especificações da ISO para gestão de Segurança da InformaçãoLaís Berlatto
O documento discute as normas ISO/IEC 17799 e ISO/IEC 27002 para gestão de segurança da informação. Estas normas fornecem recomendações para a proteção de ativos de informação garantindo sua confidencialidade, integridade e disponibilidade através de controles em políticas, pessoas, ambiente físico, operações, acesso, sistemas e continuidade dos negócios.
Este documento apresenta um projeto de segurança da informação para uma organização confidencial. O projeto inclui planejamento, diagnóstico da situação atual por meio de entrevistas e visitas técnicas, e elaboração de um plano de ação e política de segurança da informação. O objetivo é avaliar os controles de segurança da informação existentes, identificar riscos e ameaças, e recomendar melhorias para proteger os ativos de informação da organização.
Este documento resume a norma ISO 27001 de segurança da informação. Ele explica que a ISO 27001 fornece melhores práticas para proteger a confidencialidade, integridade e disponibilidade das informações de uma organização. Também descreve os benefícios da certificação, como estabelecer confiança e cumprir regulamentações como a LGPD. Por fim, resume que a implementação leva em média 12 meses e avalia diversos aspectos como políticas, controles de acesso e segurança física e operacional.
Este documento discute os principais frameworks de governança e gestão de TI, como COBIT 5, ITIL e ISO 27002, e como eles se relacionam com segurança da informação. O documento também fornece um exemplo de como implementar uma campanha de conscientização em segurança da informação de acordo com a ISO 27002.
O documento discute a importância de indicadores para monitorar a segurança cibernética de uma organização. Ele explica que os indicadores devem fornecer informações úteis para apoiar a tomada de decisão e apresenta exemplos de indicadores baseados nos Controles Básicos de Segurança Cibernética (CIS Controls) e no framework de gestão de riscos da ISO.
Este documento resume as principais informações sobre a Norma Regulamentadora 35 (NR 35) que trata da segurança no trabalho em altura. A NR 35 estabelece regras para planejamento, organização e execução de trabalhos em altura visando garantir a segurança dos trabalhadores. Entre os pontos abordados estão treinamento obrigatório, equipamentos de proteção, análise de riscos, procedimentos operacionais, permissão de trabalho e sistemas de ancoragem.
Este documento fornece diretrizes sobre políticas e procedimentos para garantir a segurança das redes e sistemas de informação de acordo com o RGPD, incluindo: 1) a definição de políticas de segurança claras e responsabilidades individuais; 2) procedimentos para a gestão de contas de utilizadores e perfis de acesso; 3) diretrizes sobre autenticação e bloqueio de contas. O objetivo é garantir que apenas utilizadores autorizados possam aceder aos dados pessoais e que as atividades sejam monitorizadas e auditadas.
3. 3
Normas de Segurança da Informação
ConceitosConceitos
•
s de iniciar o estudo sobre as normas, devemos entender os conceitos referentes
Regulamentações (busca de conformidade com a legislação
vigente);
Baseline (nível mínimo de proteção nos sistemas críticos);
DiretrizesDiretrizes
Em um contexto estratégico pode ser interpretado como ações
ou caminhos a serem seguidos em determinados momentos.
Orienta o que deve ser feito e como, para se
alcançarem os objetivos estabelecidos na política [ISO 17799]
Procedimentos (instruções operacionais);
Normas de Segurança da Informação
4. 4
Normas de Segurança da Informação
O que são e para que servem as normas?
É aquilo que se estabelece como medida para a realização de uma atividade.
Uma norma tem como propósito definir regras e instrumentos de
controle para assegurar a conformidade de um processo, produto ou serviço.
Quais os problemas gerados pela ausência de normas?
5. 5
Normas de Segurança da Informação
Surgimento das Normas
Em outubro de 1967 foi criado um documento chamado “Security
Control for Computer System” que marcou o passo inicial para criação
de conjunto de regras para segurança de computadores.
DoD também não ficou fora disto e teve grande participação na
elaboração de regras.
Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted
Computer Evaluation Criteria” por DoD. A versão final deste documento
foi impresso em dezembro de 1985.
6. 6
Normas de Segurança da Informação
O “Orange Book” é considerado como marco inicial de um processo
mundial de busca de medidas que permitem a um ambiente computacional
ser qualificado como seguro.
O "Orange Book" permite especificar o que deve ser implementado e
fornecido por um software, para que ele seja classificado em um dos
níveis de "segurança" pré-estipulados.
Surgimento das Normas
7. 7
Normas de Segurança da Informação
Este esforço foi liderado pela "International Organization for Standardization
(ISO). No final do ano de 2000, o primeiro resultado desse esforço foi
apresentado, que é a norma internacional de Segurança da Informação
"ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países
de língua portuguesa, denominada "NBR ISO/IEC-17799“.
Surgimento das Normas
8. 8
Normas de Segurança da Informação
Desenvolvimento de Padrões
Porque o desenvolvimento de padrões e normas de segurança são
importantes?
Em que forma tais procedimentos ajudam em redução e controle
das vulnerabilidades existentes?
9. 9
Normas de Segurança da Informação
A ISO 17799 é um conjunto de recomendações para gestão da SI para uso
de implementação ou manutenção da segurança em suas organizações.
Providencia uma base comum para o desenvolvimento de normas de
segurança organizacional e das práticas efetivas de gestão da segurança.
A ISO 17799 atua em segurança da informação considerando tecnologia,
processos e pessoas. Esta norma é publicada no Brasil pela ABNT com
o código NBR ISO 17799.
NBR/ISO IEC 17799
10. 10
Normas de Segurança da Informação
Breve histórico da ISO 17799
A Associação Britânica de Normas tinha 2 normas referentes à segurança
de sistemas de informação: a BS 7799-1 e a BS 7799-2.
A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo
a ser a ISO 17799.
A BS 7799-2 se referia especialmente ao processo de certificação
do aspecto de segurança em organizações e não foi submetida
para o ISO.
11. 11
Normas de Segurança da Informação
vo da norma
os e definições
a de segurança
ança organizacional
ficação e controle dos ativos de informação
ança de pessoas
7. Segurança física e do ambiente
8. Gerenciamento de operações e comunicações
9. Controle de acesso
10. Desenvolvimento de sistemas.
11. Gestão de continuidade de negócios
12. Conformidade
Diversas partes da ISO 17799
12. 12
Normas de Segurança da Informação
ISO 17799 – Segurança Organizacional
Infraestrutura de segurança: indica que uma estrutura organizacional
deve ser criada para iniciar e implementar as medidas de segurança.
Segurança no acesso de prestadores de serviço: garantir a segurança
dos ativos acessados por prestadores de serviços.
Segurança envolvendo serviços terceirizados: deve-se incluir nos
contratos de terceirização de serviços computacionais cláusulas para segurança.
13. 13
Normas de Segurança da Informação
ISO 17799 – Segurança de Pessoas
Segurança na definição e Recursos de Trabalho: Devem ser incluídas
as preocupações de segurança no momento da contratação de pessoas.
Verificar os critérios de segurança no processo de seleção.
Funcionários devem assinar o acordo de confidencialidade.
Treinamento dos usuários: educação, conscientização e treinamento
referentes a segurança.
Mecanismos de Incidente de Segurança: Deve existir mecanismos
para funcionários poderem reportar possíveis falhas.
Processo disciplinar formal: Deve haver um processo disciplinar
formal para funcionários que violaram os procedimentos de segurança.
14. 14
Normas de Segurança da Informação
ISO 17799 – Segurança Física e de Ambiente
Áreas de segurança: prevenir acesso não autorizado, dano e interferência
nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles
de entrada física, etc.
Segurança de equipamento: convém proteger equipamentos fisicamente
de ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos
ambientais, proteção contra falta de energia, segurança do cabeamento,
definição de política de manutenção, proteção a equipamentos fora das instalações.
Controles gerais: Por exemplo proteção de tela com senha para evitar que
informação fique visível em tela, deve-se ter uma política quanto a deixar
papéis na impressora por muito tempo, etc.
15. 15
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (1)
Gerenciamento de acesso dos usuários:
Registro do usuário: ID única para cada usuário, pedir assinatura em termo de
responsabilidade, remover usuário assim que o funcionário sair da empresa .
Gerenciamento de privilégios: aqui entra o controle de acesso baseado em
papéis; basicamente, se recomenda que usuários tenham apenas os privilégios
necessários para fazer seu trabalho.
Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha é
secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez.
Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de
acesso dos usuários com freqüência de 6 meses ou menos.
16. 16
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (2)
Responsabilidades dos usuários:
Senhas: segundo norma, usuário deve zelar pela sua senha e criar
uma senha considerada aceitável (mínimo de 6 caracteres).
Equipamentos sem monitoração: Usuários deve tomar os cuidados
necessários ao deixar um equipamento sem monitoramento,
com seções abertas.
17. 17
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (3)
Controle de Acesso ao SO
Controle de acesso ao sistema operacional: Identificação automática de
terminal: nos casos onde deve-se conhecer onde um usuário efetua logon.
Procedimentos de entrada no sistema (logon). Sugestões como: limitar
o número de tentativas erradas para o logon e não fornecer ajuda no
processo de logon, entre outros.
Identificação de usuários: a não ser em casos excepcionais cada
usuário deve ter apenas um ID. Considerar outras tecnologias de
identificação e autenticação: smart cards, autenticação biométrica.
Sistema de Gerenciamento de Senhas: Contém os atributos
desejáveis para sistema que lê, armazena e verifica senhas.
18. 18
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (4)
Controle de Acesso às aplicações
Registro de Eventos: Trilha de auditoria registrando exceções e outros
eventos de segurança devem ser armazenados por um tempo adequado.
Monitoração do Uso do Sistema: Os procedimentos do monitoração
do uso do sistema devem ser estabelecidos. Uma análise crítica dos
logs deve ser feita de forma periódica.
Sincronização dos Relógios: Para garantir a exatidão dos registros
de auditoria.
19. 19
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (5)
Computação Móvel
Usuários de equipamentos móveis devem ser conscientizados
das práticas de segurança, incluindo senhas, criptografia entre outros.
20. 20
Normas de Segurança da Informação
ISO 17799 – Gestão de Continuidade de Negócios
Deve-se desenvolver planos de contingência para caso de falhas de
segurança, desastres, perda de serviço, etc.
Estes planos devem ser documentados, e o pessoal envolvido
treinado. Os planos de contingência devem ser testados regularmente,
pois tais planos quando concebidos teoricamente, podem apresentar
falhas devido a pressupostos incorretos, omissões ou mudança de
equipamento ou pessoal.
21. 21
Normas de Segurança da Informação
ISO 17799 – Componentes do Plano de Continuidade de Negócios
condições para a ativação do plano;
procedimentos de emergência a serem tomados;
procedimentos de recuperação para transferir atividades essenciais para
outras localidades, equipamentos, programas, entre outros;
procedimentos de recuperação quando do estabelecimento das operações;
programação de manutenção que especifique quando e como o plano
deverá ser testado;
desenvolvimento de atividades de treinamento e conscientização do
pessoal envolvido;
designação de responsabilidades.
22. 22
Normas de Segurança da Informação
ISO 17799 – Conformidade
Conformidade com Requisitos Legais: Para evitar a violação
de qualquer lei, estatuto, regulamentação ou obrigações contratuais.
Evitar a violação de Direitos Autorais dos aplicativos.
Análise Crítica da Política de Segurança e da Conformidade Técnica.
Considerações referentes Auditoria de Sistemas.
23. 23
Normas de Segurança da Informação
BS 7799-2
O BS 7799-2 é a segunda parte do padrão de segurança inglês
cuja primeira parte virou o ISO 17799.
O BS 7799-2 fala sobre certificação de segurança de organizações;
isto é, define quando e como se pode dizer que uma organização
segue todo ou parte do ISO 17799 (na verdade do BS 7799-1).
24. 24
Normas de Segurança da Informação
ISO 15408
Vários países (EUA, Canadá, França, Inglaterra, Alemanha, etc) estavam
desenvolvendo seus padrões para sistemas seguros (mas não militares).
Nos EUA o padrão se chamava TCSEC (Trusted Computer System
Evaluation Criteria), no Canadá CTCPEC, etc. Os países europeus decidiram
unificar seus critérios, criando o Information Technology Security Evaluation Criteria
(ITSEC). Mais tarde (1990) houve a unificação do padrão europeu e
norte americano, criando- se assim o Common Criteria (CC). A versão 2.1 do
CC se tornou o ISO 15408.
25. 25
ISO 15408
É um conjunto de três volumes:
Primeiro discute definições e metodologia;
Segundo lista um conjunto de requisitos de segurança;
Terceiro fala de metodologias de avaliação.
Diferente do 17799, 15408 é um CC para definir e avaliar requisitos
de segurança de sistemas e não de organizações.
Normas de Segurança da Informação
26. 26
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 27001.
Título: Information Security Management Systems- Requirements.
Aplicação: Esta norma é aplicável a qualquer organização, independente do
seu ramo de atuação, e define requisitos para estabelecer, implementar, operar,
monitorar, revisar, manter e melhorar um
Sistema de Gestão de Segurança da Informação. A ISO IEC 27001 é a norma usada
para fins de certificação e substitui a norma Britânica BS7799-2:2002. Portanto, uma
organização que deseje implantar um SGSI deve adotar como base a ISO IEC 27001.
Situação: Norma aprovada e publicada pela ISO em Genebra,
em 15.10.2005. No Brasil, a ABNT publicou como
Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006.
27. 27
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 27002
Título: Information Technology - Code of practice for information
Security Management.
Aplicação: Norma aprovada e publicada pela ISO em Genebra,
em 15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira
NBR ISO IEC 17799 no dia 24 de agosto de 2005.
Situação: Norma aprovada e publicada pela ISO em Genebra,
em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira
NBR ISO IEC 27002 no primeiro trimestre de 2006.
28. 28
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 1 st WD 27003.
Título: Information Security Management Systems-Implementation Guidance.
Aplicação: Este projeto de norma tem como objetivo fornecer
um guia prático para implementação de um Sistema de Gestão
da Segurança da Informação, baseado na ISO IEC 27001.
Situação: Este projeto de norma encontra-se em um estágio
de desenvolvimento, denominado de WD-Working Draft. A previsão
para publicação como norma internacional é 2008-2009.
29. 29
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd WD 27004.
Título: Information Security Management-Measurements.
Aplicação: Este projeto de norma fornece diretrizes com relação
a técnicas e procedimentos de medição para avaliar a eficácia dos controles
de segurança da informação implementados, dos processos de segurança
da informação e do Sistema de Gestão da Segurança da Informação.
Situação: Este projeto de norma encontra-se em um estágio
onde vários comentários já foram discutidos e incorporados
ao projeto. A previsão para publicação como norma internacional é 2008-2009.
30. 30
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd CD 27005.
Título: Information Security Management Systems- Information Security Risk Managemen
Aplicação: Este projeto de norma fornece diretrizes
para o gerenciamento de riscos de segurança da informação.
Situação: Este projeto de norma já se encontra em um estágio
mais avançado, pois vem sendo discutido há mais de dois anos
. A previsão para publicação como norma internacional é 2007.
(Publicada em julho de 2008).
31. 31
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd CD 27006.
Título: Information technology -- Security techniques –
Requirements for bodies providing audit and certification
of information security management systems.
Aplicação: Norma de requisitos para a credibilidade de organizações que oferecem
serviços de certificação de sistemas de gestão da SI.
Situação: Publicada em 2007.
32. 32
“Um homem sábio não procura oportunidades: as constrói”.
(Bacon)
“Sorte é o encontro da oportunidade com a preparação”.
(Anônimo).
“Comece, e sua mente se aquecerá. Comece, e a tarefa será
terminada”. (Goethe).
“O poder nasce do querer. Sempre que o homem aplicar a
veemência e perseverante energia de sua alma a um fim, vencerá
os obstáculos, e, se não atingir o alvo, fará pelo menos coisas
admiráveis”. (José de Alencar).
Normas de Segurança da Informação
MensagensMensagens
33. 33
Profa. Cynara Carvalho.
Por ter disponibilizado este material na Internet, que serviu de suporte para
Ministrar a aula sobre Normas de Segurança baseada na NBR ISO 17799 e
sua atualização para 270002.
Normas de Segurança da Informação
AgradecimentosAgradecimentos