SlideShare uma empresa Scribd logo
Segurança de Informação
24/08/2013
Mecanismo de controlo as meaças
Na segurança da informação existem alguns mecanismos para preservar as informações
de formar a garantir a sua disponibilidade confidencialidade, integridade e
autenticidade. Estes mecanismos são designados de mecanismo de controlo as meaças:
1. Controle de acesso: este mecanismo permite controlar quais as pessoas
autorizadas a entrar em determinado local e regista do dia e hora de acesso
controlando e decidindo as permissões que cada utilizador tem um sistema de
controlo de acesso é constituído por diferentes equipamentos periféricos de
controlo comando, interligado a uma única unidade controle que permite em
diferente vários acessos
2. Detecção de Intrusos: o sistema de tenção de intrusos alerta os administradores
para entrada de possíveis introduzo no sistema tenta reconhecer um
comportamento ou acção através intrusos, através da análise das informações
disponíveis num sistema de computação ou redes
3. Criptografia: A criptografia é a arte de codificação que permite a transformação
reversível da informação de forma a torna-la inteligível a terceiros. Está utilizar
determinado algoritmo na chave secreta para a partir de conjunto de dados não
criptografado produzido uma sequência de dados criptografados
4. Assinatura Digital: este mecanismo é um conjunto de dados criptografado
associado a um documento que garante a sua integridade e autensidade. A
utilização da assinatura digital prova que uma mensagem de um determinado
emissor porque é um processo que apenas o asignatura pode realizar, num
entanto receptor deve poder confirmar assinatura feita pelo emissor a mensagem
não pode ser alterada, se ñ a assinatura ñ corresponderá mais ao documento.
Validade de uma assinatura digital verifica-se esta a se basear a certificadas
emitidas por entidades certificada credenciada
5. Protecção de dados armazenados: nestes mecanismos são utilizados antivírus
que são softwares capaz de detectar e remover arquivo arquivos ou programas
nocivos. A preocupação de os dados armazenados faz com que se desenvolvam
alguns métodos para controlar acesso por pessoas externas como a criptografia
ou assinatura digital
Segurança de Informação
6. Recuperação de desastres: (as catástrofes naturais indução, terremotos, etc.)
Designam-se de desastres e são acontecimentos que pode causar grandes
prejuízos porem com baixa probidade de ocorrência. No entanto leva nos a
necessidade de implementar plano de imergência, para garantir a preservação
dos documento e a própria integridade física dos colaborares de uma
organização
07/09/2013
Modelo para segurança de informação:
Norma ISO/IEC 27000
Objectivo da gestão de segurança de informação é manter a qualidade das informações.
E a qualidade dessas informações depende da confidencialidade, integridade e
disponibilidade das mesmas. Esse princípio foi desenvolvido por de modo a tornar o
padrão global de segurança de informação: conjunto ISO/IEC 27000
Na serie ISO/IEC 27000
Constitui um padrão de certificação de sistema de gestão promovido pela Internacional
Standard Organisation (ISO), onde neste caso aplica-se implementação de sistema de
gestão da informação (SGSI), através de estabelecimento de uma política de segurança,
de controlo adequados e da gestão de risco
Está norma serve de apoio de as organizações dequalquer sector público ou privado para
entender os fundamento, principio e conceitos que permitem uma melhor gestão dos
seus activos de informação
A família de normasISO/IEC 27000 inclui padrões que definem os requisitos para um
SGSI e para certificação desses sistemas e prestam apoio direito e organização
detalhada para o processos e requisitos dos ciclos PDCA:
P-PLAN(Plano)
D-Do (fazer)
C-Check(Verificar)
A-Act(Acção)
Segurança de Informação
ISO 27000 contém termos e definições por utilizados ao longo da série 27000.
Aplicação de qualquer padrão necessita de um vocabulário claramente definida para
evitar diferentes interpretações de conceitos técnico e de gestão:
 Controle de acesso: meios para a segurar que a cesso a activos está autorizado
com base e restringidos com no trabalho em segurança
 Responsabilidade: de uma entidade pelas suas acções e decisões
 Activos: qualquer coisa que tenha valor para organização(informação, Software,
o próprio PC, serviços, e as pessoas)
 Atacar: tentar destruir, alterar, expor e inutilizar roubar ou obter acesso não
autorizado ou fazer o uso não autorizado de um activo
 Autenticação: prestação de garantia de uma característica reclamada por uma
entidade é correcta
 Autenticidade: propriedade que nos diz que uma entidade é aquilo que
realmente a firma que uma entidade ser
 Disponibilidade: propriedade de ser acessível e utilizável por uma entidade
autorizada
 Confidencialidade: propriedade que garante que a informação não esta
disponível ou revelada ao indivíduos não autorizada, entidade ou processos
 Controlar:meio de gestão de risco incluindo as políticas de procedimentos,
directrizes, praticas ou estruturas organizacionais que podem ser de natureza
administrativa técnica, de gestão ou de natureza legal
 Acção Correctiva: acção para é eliminar a causa de uma não conformidade
detectada ou outra acção situações indesejável
 Directriz: recomendação do que é esperado que seja feito a fim de alcançar um
objectivo
 Segurança da informação: preservação da confidencialidade, integridade e
disponibilidade das informações;
 Sistema de Gestão de Informação: parte do sistema gestão global, com base
numa abordagem de risco de negóciopara estabelecer, implementar, operar,
monitorizar, rever, manter e melhor ar a segurança da informação
 Risco de Segurança de Informação: potencial que uma a meaça explore uma
vulnerabilidade de um activo ou grupos de activo e assim causar danos a
organização
 Integridade: propriedade de proteger a exactidão de activo
 Sistema Gestão: âmbito das políticas procedimentos, directrizes e recursos
associados para alcançar os objectivos de uma organização
 Politica: Intenção e direcção geral como formalmente expressão pela gestão;
 Processos: conjunto de actividades inter-relacionadas ou interactivas que
transformam-se em produtos
 Risco: combinação da probalidade de um em ventos e das suas consequências
 Evento: ocorrência de um determinado conjunto de circunstâncias
 Análise de risco: uso sistemático de informação para identificar fontes estimar a
ocorrência de um risco
Segurança de Informação
 Gestão de Risco: actividade coordenada para dirigir e controlar uma
organização em relação a um determinado risco
 Ameaça: causa potencial de um incidente indesejado, o que pode resultar em
danos para um sistema ou resultar em danos para um sistema ou entidade
 Vulnerabilidade: fraqueza de um activo ou controlo que pode ser explorado por
a meaças
Principais Benefícios do objectivonorma ISO/IEC27000
Beneficio:
 Estabelecimento de uma metodologia clara da gestão de segurança
 Reduzir o risco de perda, roubo ou alteração da informação
 O acesso a informação é feito através das medidas de segurança
 Confiança e regras claras para todos envolvidos de uma organização
 Aumento de segurança relativamente a gestão de processos
 Conformidade com a legislação vigente sobre informação vigente sobre
informação pessoal, propriedade intelectual e outras,
 Os riscos e os seus controlos são continuamente verificados
 Garantia de qualidade e confidencialidade comercial
________________________________________________________________
14/09/2013
Sistema de Gestão de segurança de Informação:
Um Sistema de Gestão de Segurança da Informação (SGSI) fornecer um modelo
para o estabelecimento, implementação operacionalização, monitorização,
revisão, manutenção e melhoria da protecção de activos de informação com vista
a alcançar os objectivos propósito por uma organização com base numa correcta
de uma avaliação e gestão dos riscos inerentes a uma organização.
A implementação bem sucessedida por um sistema de gestão de informação
depende da analise dos requisitos para a protecção dos activos da informação,
assim como dos controlos adequados para garantir essa protecção
Segurança de Informação
Principio de Fundamentais para uma boa implementação de umSistema de
Gestão de Segurança da Informação
 A consensciencia das necessidades de segurança da informação
 Atribuição de responsabilidade pela segurança de informação;
 Incorporar o comprimisso da gestão e os interesses de todas as partes
interessados
 Reforçar os valores das sociedades;
 Avaliar os riscos que determinam os controlos adequados para atingir níveis
aceitáveis de riscos
 Prevenção activa e detenção de incidentes de segurança da informação
 Reavaliação contínua da segurança da informação;
Em termos da segurança da Informação, um sistema de gestão permite que
a organização:
 Satisfaça os requisitos de segurança de clientes e outros interessados,
 Melhores os seus planos actividades,
 Cumpra os seus objectivos de segurança da informação
 Faça uma gestão dos seus activos de informação de uma forma organizada o que
facilita a melhoria a contínua
________________________________________________________________
21/09/2013
Norma 27001
ISO /IEC 27001
Esta norma foi publicada pelo ISO/IEC em Outubro de 2005.Foi elaborada para
especificar os requisitos para o estabelecimento, implementação,
operacionalização, monitorização, revisão, manutenção e melhoria de SGSI,
dentro do contesto de risco de negocio de uma organização.
A certificação não é um requisito obrigatório da norma ISO/IEC27001, é uma
decisão da organização. Num entanto, 18 mesesapoios a sua publicação mais de
duas mil organizações 50 países foram certificadas o crescimento nessa área tem
vindo aumentar
Segurança de Informação
Objectivo da Norma ISO/IEC
Esta norma foi estabelecida com âmbito em conjunto ISO/IEC 17799 e pretende
a segurar a selecção de controlo de segurança adequado e proporcional. A
implementação da norma 27001 faz com que o seu foco nas necessidade de
negocio e considerar a segurança da informação como parte integrante dos
objectivo de negocio para realizar a gestão dos riscos
A norma ISO/IEC 27001 é universal para todos tipos de organização e
especifica os requisitos para implementação consoantes as necessidades de uma
organização
A certificação em conformidade com a norma 27001 normalmente envolve um
conceito de auditoria:
 Revisão linear da documentação chave bem como da política da organização,
declaração de aplicabilidade e plano de tratamento de risco.
 Realização de uma auditoria em profundidade envolvendo o controlo de SGSI
declarado na declaração na aplicabilidade e plano de tratamento de risco, bem
como a documentação de suporte
05/10/2013
A renovação do certificado envolve algumas revisões periódicas confirmando
que SGSI continua a trabalhar como área desejado
1. Sistema A norma ISO/IEC 27001 envolve alguns componentes:
Estabelecer o SGSI:
 Implementar e operar o SGSI
 Monitorizar e Analisar criticamente o SGSI
 Manter e melhorar o SGSI
 Requisitos de Documentação
 Controle de Documentação
 Controle de Registos
2. Responsabilidade da Direcção:
 Comprometimento da Direcção
 Gestão de Recursos
 Provisão de Recursos
 Treino Consciencialização e competência
3. Auditória Internas que determinam se um SGSI:
 Atende aos requisitos da norma
 Atende aos requisitos de segurança identificados
Segurança de Informação
 É executado conforme esperado
Todo o procedimento de uma auditória é documentado e os auditores não podem auditar
o seu próprio trabalho, conferindo objectividade e imparcialidade
4. Analise Critica de SGSI pela direcção:
Entrada:
 Resultado das auditória e análise criticas, situações das acções
preventivas e correctiva,vulnerabilidade não completada a
adequadamente nas análises anteriores, resultado recomendações e
mudanças
Saídas:
Oportunidade de incluir melhoria e mudanças modificação do SGSI
das necessidades dos recursos
5.Melhoria de SGSI:
Melhoria contínua através do uso da política estabelecida, resultado das
auditórias, análise dos eventos monitorizados e acções correctivas
 Eliminação das não conformidades através das acções correctivas e
preventivas
PCAN: na verificação do sistema de segurança da informação
 PCAN(Planear): Estabelecimento de política, processo e
procedimentos relevante para administraçãode risco e para a melhoria
da segurança da informação
 DO(Fazer, implementar e operar): implementar e operacionalização
das políticas de controle processo e procedimento do sistema
 CHECK (Verificar/monitorar/Rever): expensão da performance dos
processos em comparação com as políticas e objectivos de SGSI Este
resultados devem ser reportado para gestão para análise
 ACT (Agir/Manter/Optimizar): Tomada de acção correctiva e
preventiva, baseado em auditória interna resultado SGSI e de mais
informações provenientes da gestão ou de mais fontes relevante
O resultado PCAN: é correcta gestão do SGSI tendo como base espectavas e
necessidades de uma organização.
Event Viewer, Logs File: da informação toda de como fazer um expensão
Segurança de Informação
12/10/2013
Família da Norma ISO/IEC27000
Dentro da serie 27000 ainda podemos referir as normas 27002(Código de praticas),
27003(Guia de Implementação), 27004(Métricas e medição), 27005(Directriz de gestão
de risco) 27006(Directriz de serviços de recuperação desastraste).
A norma ISO 27002 a partir de Julho de 2007 é o novo nome da norma ISO 17799.
Está norma é um guia de boas praticas que descreve os objectivos de controlo e os
controlos recomendados para a segurança da informação. Norma ISO 27001.Contém
alguns a nexos, que resume alguns deste controlo.
A norma ISO 27003 aborda alguma directriz para a implementação de SGSI e contem
informações sobre como usar o modelo PDCA os requisitos das suas deferentes fases,
ou seja ira fornecer uma bordagem de processo orientada para o sucesso da
implementação de um SGSI de acorda com a norma ISO/IEC27001
A norma ISO/IEC 27004 especifica métrica e técnica de medição aplicáveis para
determinar a eficácia de SGSI, os objectivos de controlo e os controlos usados para
implementar e gerir a segurança da informação essas métricas são usas principalmente
para medir os componentes da fase Check do ciclo PDCA
A norma ISO/27005 estabelece directrizes para a gestão de risco em segurança da
informação, fornecendo indicações para implementação, monitorização e melhoria
contínua do sistema de controlo. A norma 27005 é aplicada a todos tipos de organização
que se destinam a gerir os riscos que possa comprimente a segurança de informação
A norma ISO 27006 especifica os requisitos e fornece orientações para o organismo
que prestem o serviço de auditória e certificação de um SGSI
26/10/2013
Sistema Lancesar:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
Xtx fx viciado
Tpt bt reyrwyzk
Segurança de Informação
.
Amanha irei visitar o senhor presidente
WHAIW DNAD RDODN KNICJN LN
Criptografia: a criptografia é uma ciência que tem importância fundamental para a
segurança da informação, a servir de base para de versas tecnologia e protocolo tais
como a infrastetura de chaves publicas, ip de segurança e o Wired Equivalent
Privacy(WEP). Suas propriedades que são o sigilo, interinidades, Autenticação e não
repudio, garante o armazenamento, as comunicações e as transacções seguras, essencial
no mundo actual.
Acriptografia tem a função e importância cada vez mais fundamentais para a segurança
das informações. A cifragem (Crípton) é o processo de disfarçar a mensagem original
ou seja o texto claro, de tal modo que sua substância é escondida em uma mensagem
com texto cifrado(Ciphertext),em quanto a de cifragem (decrepito) é o processo de
transformar o texto cifrado de volta de texto claro em original.
O processo de cifragem e decifragem são realizados via uso de algoritmos com funções
matemáticas que transformam os textos claros, que podem ser lidos em textos cifrados,
que são inteligíveis.
A criptografia possibilita que propriedade importantes para a protecção da informação
sejam alcançadas, dentre elas: Integridade, Aticidade, não repudio e sigilo
Chave publica :outras as pessoas terem acesso
Chave Priva: Para desencriptar a mensagem
A criptografia de chave Privada ou Simétrica: como a data cription standard,
(3des,idea,rc6 e outros), é responsável pelo sigilo das informações, por meio da
utilização de uma chave secreta para a codificação e decodificação dos dados
Samuel
Palmira
Mensagem Cifrado
Mensagem
Cifrada
Rede
Pública
Mensagem
Cifrada Decifrador Mensagem
Segurança de Informação
16/11/13
Cifra de Vigenere
É um método de encriptação que usa uma série de deferente cifra de césar baseadas em
letra deuma senha
Numa cifra de césar, cada letra do alfabeto e deslocada da sua posição um número fixo
de lugares; por ex: Se tiver uma deslocação de 3 lugares a letra A torna-se D, letra B
torna-se E. A cifra de Vigenere consiste na sequência de varias cifras de césar com
deferentes valores de deslocamento
Característica
1- A cifra de vigenere pertence a classe de substituição com palavras-chaves
2- O tipo da substituição a classe Polialfabetica monogramica porque faz uso de
vários alfabetos cifrates, aplicados indivualmente aos caracteres da messagem
clara.
3- O método faz uso de chaves que podem ser palavras ou chaves
D=Decriptação
E=Encriptação
K=Chave
P=Texto Puro
Na Forma de Utilização Números temos que por 1º abecedários
A BC D E F G H I J K L M N O P Q R S T U V W X Y Z
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
Para Fazer encriptação
P=K+E
Para fazer Decriptação
K-D
Segurança de Informação
Palavra
YRX
V O U A ESCOLA
2 1420 0 4 18 2 14 11 0
Encriptação da Palavra Chave Angola
MOD 26
S e soma sere 28 tem que se fazer 28-26=2
P=3+0=3=D
P=3+13=16=Q
P=3+6=9=J
P=3+14=17=R
P=3+11=14=O
P=3+0=3=D
Tabela de Vigenere
JOAO NETO
A N G O L A AN
0 13 6 14 11 0
Segurança de Informação
Pra fazer decriptação utilizamos as chaves, encontramos a posição. Buscarmos a sua
intercessão em função de número e a sua letra.
A=0=J=J
N=13=O=B
G=6=A=G
O=14=O=C
L=11=N=Y
A=0=E=E
A=0=T=T
N=13=O=B
MOD_26
Se a soma der 28 tem que se fazer 28-26=2
Método de Encriptação:
P=3+21=24=Y
P=3+14=17=R
P=3+20=23=X
P=3+0=3
P=3+4=7
P=3+18=21
P=3+2=5
P=3+14=17
P=3+11=14
P=3+0=3
Segurança de Informação
Método Decriptação:
P=24-3=21
P=17-3=14
P=23-3=20
P=3-3=0
P=7-3=4
P=21-3=18
P=5-3=2
P=17-3=14
P=14-3=11
P=3-3=0
Quando se utiliza a chave
V O U A E S C O L A
A N G O L A A N G O
Para esta encriptação a palavra que foi encriptada foi a palavra angola que é a nossa
palavra-chave é “ANGOLA” fez se encriptação na palavra ANGOLA
JOAO SEBASTIAO
DQJR ODDQJROD
ANGO - LAAN -GOLAA
0 13 6 14 11

Mais conteúdo relacionado

Mais procurados

Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
Jefferson Santana
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
IsmaelFernandoRiboli
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
sorayaNadja
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
marcos.santosrs
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
Módulo Security Solutions
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
Diego Souza
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
Guilherme Lima
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
Bruno Luiz A. de Pai Paiva
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
Adriano Martins Antonio
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
jcfarit
 

Mais procurados (19)

Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 

Semelhante a Segurança de informação1

boas-praticas-i.pdf
boas-praticas-i.pdfboas-praticas-i.pdf
boas-praticas-i.pdf
SoniaDomingos4
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
trindade7
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Rodrigo Gomes da Silva
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Luzia Dourado
 
Aula sobre computação na nuvem e segurança da computação
Aula sobre computação na nuvem e segurança da computaçãoAula sobre computação na nuvem e segurança da computação
Aula sobre computação na nuvem e segurança da computação
bykmf8fhwp
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
asbgrodrigo
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
Diego BBahia
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024
paulohunter8636
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
Aldson Diego
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
Eduardo Poggi
 
Confidencialidade.pdf
Confidencialidade.pdfConfidencialidade.pdf
Confidencialidade.pdf
PauloSantos530897
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01
profandreson
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Diego BBahia
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
Tadeu Marcos Fortes Leite
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TI
Eberson Pereira
 
Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...
Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...
Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...
Wander Sand
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Emerson Rocha
 
Aula 1
Aula 1Aula 1

Semelhante a Segurança de informação1 (20)

boas-praticas-i.pdf
boas-praticas-i.pdfboas-praticas-i.pdf
boas-praticas-i.pdf
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Aula sobre computação na nuvem e segurança da computação
Aula sobre computação na nuvem e segurança da computaçãoAula sobre computação na nuvem e segurança da computação
Aula sobre computação na nuvem e segurança da computação
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Confidencialidade.pdf
Confidencialidade.pdfConfidencialidade.pdf
Confidencialidade.pdf
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TI
 
Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...
Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...
Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Aula 1
Aula 1Aula 1
Aula 1
 

Mais de Simba Samuel

Manual cctv v3.1
Manual cctv v3.1 Manual cctv v3.1
Manual cctv v3.1
Simba Samuel
 
Manual do curso de cftv
Manual do curso de cftvManual do curso de cftv
Manual do curso de cftv
Simba Samuel
 
012 computacao forense
012   computacao forense012   computacao forense
012 computacao forense
Simba Samuel
 
Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0
Simba Samuel
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
Simba Samuel
 
Angola2
Angola2Angola2
Angola2
Simba Samuel
 
Motivação
MotivaçãoMotivação
Motivação
Simba Samuel
 
Html
HtmlHtml
Capítulo 3 funcionalidades e protocolos da camada de aplicação
Capítulo 3   funcionalidades e protocolos da camada de aplicaçãoCapítulo 3   funcionalidades e protocolos da camada de aplicação
Capítulo 3 funcionalidades e protocolos da camada de aplicação
Simba Samuel
 
Linguagem de-programacao-html 2
Linguagem de-programacao-html 2Linguagem de-programacao-html 2
Linguagem de-programacao-html 2
Simba Samuel
 
Android in action 2nd edition 2011
Android in action 2nd edition 2011Android in action 2nd edition 2011
Android in action 2nd edition 2011
Simba Samuel
 
Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)
Simba Samuel
 
Poster08
Poster08Poster08
Poster08
Simba Samuel
 
Mgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projetoMgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projeto
Simba Samuel
 
Exercicios
ExerciciosExercicios
Exercicios
Simba Samuel
 

Mais de Simba Samuel (15)

Manual cctv v3.1
Manual cctv v3.1 Manual cctv v3.1
Manual cctv v3.1
 
Manual do curso de cftv
Manual do curso de cftvManual do curso de cftv
Manual do curso de cftv
 
012 computacao forense
012   computacao forense012   computacao forense
012 computacao forense
 
Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
 
Angola2
Angola2Angola2
Angola2
 
Motivação
MotivaçãoMotivação
Motivação
 
Html
HtmlHtml
Html
 
Capítulo 3 funcionalidades e protocolos da camada de aplicação
Capítulo 3   funcionalidades e protocolos da camada de aplicaçãoCapítulo 3   funcionalidades e protocolos da camada de aplicação
Capítulo 3 funcionalidades e protocolos da camada de aplicação
 
Linguagem de-programacao-html 2
Linguagem de-programacao-html 2Linguagem de-programacao-html 2
Linguagem de-programacao-html 2
 
Android in action 2nd edition 2011
Android in action 2nd edition 2011Android in action 2nd edition 2011
Android in action 2nd edition 2011
 
Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)
 
Poster08
Poster08Poster08
Poster08
 
Mgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projetoMgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projeto
 
Exercicios
ExerciciosExercicios
Exercicios
 

Segurança de informação1

  • 1. Segurança de Informação 24/08/2013 Mecanismo de controlo as meaças Na segurança da informação existem alguns mecanismos para preservar as informações de formar a garantir a sua disponibilidade confidencialidade, integridade e autenticidade. Estes mecanismos são designados de mecanismo de controlo as meaças: 1. Controle de acesso: este mecanismo permite controlar quais as pessoas autorizadas a entrar em determinado local e regista do dia e hora de acesso controlando e decidindo as permissões que cada utilizador tem um sistema de controlo de acesso é constituído por diferentes equipamentos periféricos de controlo comando, interligado a uma única unidade controle que permite em diferente vários acessos 2. Detecção de Intrusos: o sistema de tenção de intrusos alerta os administradores para entrada de possíveis introduzo no sistema tenta reconhecer um comportamento ou acção através intrusos, através da análise das informações disponíveis num sistema de computação ou redes 3. Criptografia: A criptografia é a arte de codificação que permite a transformação reversível da informação de forma a torna-la inteligível a terceiros. Está utilizar determinado algoritmo na chave secreta para a partir de conjunto de dados não criptografado produzido uma sequência de dados criptografados 4. Assinatura Digital: este mecanismo é um conjunto de dados criptografado associado a um documento que garante a sua integridade e autensidade. A utilização da assinatura digital prova que uma mensagem de um determinado emissor porque é um processo que apenas o asignatura pode realizar, num entanto receptor deve poder confirmar assinatura feita pelo emissor a mensagem não pode ser alterada, se ñ a assinatura ñ corresponderá mais ao documento. Validade de uma assinatura digital verifica-se esta a se basear a certificadas emitidas por entidades certificada credenciada 5. Protecção de dados armazenados: nestes mecanismos são utilizados antivírus que são softwares capaz de detectar e remover arquivo arquivos ou programas nocivos. A preocupação de os dados armazenados faz com que se desenvolvam alguns métodos para controlar acesso por pessoas externas como a criptografia ou assinatura digital
  • 2. Segurança de Informação 6. Recuperação de desastres: (as catástrofes naturais indução, terremotos, etc.) Designam-se de desastres e são acontecimentos que pode causar grandes prejuízos porem com baixa probidade de ocorrência. No entanto leva nos a necessidade de implementar plano de imergência, para garantir a preservação dos documento e a própria integridade física dos colaborares de uma organização 07/09/2013 Modelo para segurança de informação: Norma ISO/IEC 27000 Objectivo da gestão de segurança de informação é manter a qualidade das informações. E a qualidade dessas informações depende da confidencialidade, integridade e disponibilidade das mesmas. Esse princípio foi desenvolvido por de modo a tornar o padrão global de segurança de informação: conjunto ISO/IEC 27000 Na serie ISO/IEC 27000 Constitui um padrão de certificação de sistema de gestão promovido pela Internacional Standard Organisation (ISO), onde neste caso aplica-se implementação de sistema de gestão da informação (SGSI), através de estabelecimento de uma política de segurança, de controlo adequados e da gestão de risco Está norma serve de apoio de as organizações dequalquer sector público ou privado para entender os fundamento, principio e conceitos que permitem uma melhor gestão dos seus activos de informação A família de normasISO/IEC 27000 inclui padrões que definem os requisitos para um SGSI e para certificação desses sistemas e prestam apoio direito e organização detalhada para o processos e requisitos dos ciclos PDCA: P-PLAN(Plano) D-Do (fazer) C-Check(Verificar) A-Act(Acção)
  • 3. Segurança de Informação ISO 27000 contém termos e definições por utilizados ao longo da série 27000. Aplicação de qualquer padrão necessita de um vocabulário claramente definida para evitar diferentes interpretações de conceitos técnico e de gestão:  Controle de acesso: meios para a segurar que a cesso a activos está autorizado com base e restringidos com no trabalho em segurança  Responsabilidade: de uma entidade pelas suas acções e decisões  Activos: qualquer coisa que tenha valor para organização(informação, Software, o próprio PC, serviços, e as pessoas)  Atacar: tentar destruir, alterar, expor e inutilizar roubar ou obter acesso não autorizado ou fazer o uso não autorizado de um activo  Autenticação: prestação de garantia de uma característica reclamada por uma entidade é correcta  Autenticidade: propriedade que nos diz que uma entidade é aquilo que realmente a firma que uma entidade ser  Disponibilidade: propriedade de ser acessível e utilizável por uma entidade autorizada  Confidencialidade: propriedade que garante que a informação não esta disponível ou revelada ao indivíduos não autorizada, entidade ou processos  Controlar:meio de gestão de risco incluindo as políticas de procedimentos, directrizes, praticas ou estruturas organizacionais que podem ser de natureza administrativa técnica, de gestão ou de natureza legal  Acção Correctiva: acção para é eliminar a causa de uma não conformidade detectada ou outra acção situações indesejável  Directriz: recomendação do que é esperado que seja feito a fim de alcançar um objectivo  Segurança da informação: preservação da confidencialidade, integridade e disponibilidade das informações;  Sistema de Gestão de Informação: parte do sistema gestão global, com base numa abordagem de risco de negóciopara estabelecer, implementar, operar, monitorizar, rever, manter e melhor ar a segurança da informação  Risco de Segurança de Informação: potencial que uma a meaça explore uma vulnerabilidade de um activo ou grupos de activo e assim causar danos a organização  Integridade: propriedade de proteger a exactidão de activo  Sistema Gestão: âmbito das políticas procedimentos, directrizes e recursos associados para alcançar os objectivos de uma organização  Politica: Intenção e direcção geral como formalmente expressão pela gestão;  Processos: conjunto de actividades inter-relacionadas ou interactivas que transformam-se em produtos  Risco: combinação da probalidade de um em ventos e das suas consequências  Evento: ocorrência de um determinado conjunto de circunstâncias  Análise de risco: uso sistemático de informação para identificar fontes estimar a ocorrência de um risco
  • 4. Segurança de Informação  Gestão de Risco: actividade coordenada para dirigir e controlar uma organização em relação a um determinado risco  Ameaça: causa potencial de um incidente indesejado, o que pode resultar em danos para um sistema ou resultar em danos para um sistema ou entidade  Vulnerabilidade: fraqueza de um activo ou controlo que pode ser explorado por a meaças Principais Benefícios do objectivonorma ISO/IEC27000 Beneficio:  Estabelecimento de uma metodologia clara da gestão de segurança  Reduzir o risco de perda, roubo ou alteração da informação  O acesso a informação é feito através das medidas de segurança  Confiança e regras claras para todos envolvidos de uma organização  Aumento de segurança relativamente a gestão de processos  Conformidade com a legislação vigente sobre informação vigente sobre informação pessoal, propriedade intelectual e outras,  Os riscos e os seus controlos são continuamente verificados  Garantia de qualidade e confidencialidade comercial ________________________________________________________________ 14/09/2013 Sistema de Gestão de segurança de Informação: Um Sistema de Gestão de Segurança da Informação (SGSI) fornecer um modelo para o estabelecimento, implementação operacionalização, monitorização, revisão, manutenção e melhoria da protecção de activos de informação com vista a alcançar os objectivos propósito por uma organização com base numa correcta de uma avaliação e gestão dos riscos inerentes a uma organização. A implementação bem sucessedida por um sistema de gestão de informação depende da analise dos requisitos para a protecção dos activos da informação, assim como dos controlos adequados para garantir essa protecção
  • 5. Segurança de Informação Principio de Fundamentais para uma boa implementação de umSistema de Gestão de Segurança da Informação  A consensciencia das necessidades de segurança da informação  Atribuição de responsabilidade pela segurança de informação;  Incorporar o comprimisso da gestão e os interesses de todas as partes interessados  Reforçar os valores das sociedades;  Avaliar os riscos que determinam os controlos adequados para atingir níveis aceitáveis de riscos  Prevenção activa e detenção de incidentes de segurança da informação  Reavaliação contínua da segurança da informação; Em termos da segurança da Informação, um sistema de gestão permite que a organização:  Satisfaça os requisitos de segurança de clientes e outros interessados,  Melhores os seus planos actividades,  Cumpra os seus objectivos de segurança da informação  Faça uma gestão dos seus activos de informação de uma forma organizada o que facilita a melhoria a contínua ________________________________________________________________ 21/09/2013 Norma 27001 ISO /IEC 27001 Esta norma foi publicada pelo ISO/IEC em Outubro de 2005.Foi elaborada para especificar os requisitos para o estabelecimento, implementação, operacionalização, monitorização, revisão, manutenção e melhoria de SGSI, dentro do contesto de risco de negocio de uma organização. A certificação não é um requisito obrigatório da norma ISO/IEC27001, é uma decisão da organização. Num entanto, 18 mesesapoios a sua publicação mais de duas mil organizações 50 países foram certificadas o crescimento nessa área tem vindo aumentar
  • 6. Segurança de Informação Objectivo da Norma ISO/IEC Esta norma foi estabelecida com âmbito em conjunto ISO/IEC 17799 e pretende a segurar a selecção de controlo de segurança adequado e proporcional. A implementação da norma 27001 faz com que o seu foco nas necessidade de negocio e considerar a segurança da informação como parte integrante dos objectivo de negocio para realizar a gestão dos riscos A norma ISO/IEC 27001 é universal para todos tipos de organização e especifica os requisitos para implementação consoantes as necessidades de uma organização A certificação em conformidade com a norma 27001 normalmente envolve um conceito de auditoria:  Revisão linear da documentação chave bem como da política da organização, declaração de aplicabilidade e plano de tratamento de risco.  Realização de uma auditoria em profundidade envolvendo o controlo de SGSI declarado na declaração na aplicabilidade e plano de tratamento de risco, bem como a documentação de suporte 05/10/2013 A renovação do certificado envolve algumas revisões periódicas confirmando que SGSI continua a trabalhar como área desejado 1. Sistema A norma ISO/IEC 27001 envolve alguns componentes: Estabelecer o SGSI:  Implementar e operar o SGSI  Monitorizar e Analisar criticamente o SGSI  Manter e melhorar o SGSI  Requisitos de Documentação  Controle de Documentação  Controle de Registos 2. Responsabilidade da Direcção:  Comprometimento da Direcção  Gestão de Recursos  Provisão de Recursos  Treino Consciencialização e competência 3. Auditória Internas que determinam se um SGSI:  Atende aos requisitos da norma  Atende aos requisitos de segurança identificados
  • 7. Segurança de Informação  É executado conforme esperado Todo o procedimento de uma auditória é documentado e os auditores não podem auditar o seu próprio trabalho, conferindo objectividade e imparcialidade 4. Analise Critica de SGSI pela direcção: Entrada:  Resultado das auditória e análise criticas, situações das acções preventivas e correctiva,vulnerabilidade não completada a adequadamente nas análises anteriores, resultado recomendações e mudanças Saídas: Oportunidade de incluir melhoria e mudanças modificação do SGSI das necessidades dos recursos 5.Melhoria de SGSI: Melhoria contínua através do uso da política estabelecida, resultado das auditórias, análise dos eventos monitorizados e acções correctivas  Eliminação das não conformidades através das acções correctivas e preventivas PCAN: na verificação do sistema de segurança da informação  PCAN(Planear): Estabelecimento de política, processo e procedimentos relevante para administraçãode risco e para a melhoria da segurança da informação  DO(Fazer, implementar e operar): implementar e operacionalização das políticas de controle processo e procedimento do sistema  CHECK (Verificar/monitorar/Rever): expensão da performance dos processos em comparação com as políticas e objectivos de SGSI Este resultados devem ser reportado para gestão para análise  ACT (Agir/Manter/Optimizar): Tomada de acção correctiva e preventiva, baseado em auditória interna resultado SGSI e de mais informações provenientes da gestão ou de mais fontes relevante O resultado PCAN: é correcta gestão do SGSI tendo como base espectavas e necessidades de uma organização. Event Viewer, Logs File: da informação toda de como fazer um expensão
  • 8. Segurança de Informação 12/10/2013 Família da Norma ISO/IEC27000 Dentro da serie 27000 ainda podemos referir as normas 27002(Código de praticas), 27003(Guia de Implementação), 27004(Métricas e medição), 27005(Directriz de gestão de risco) 27006(Directriz de serviços de recuperação desastraste). A norma ISO 27002 a partir de Julho de 2007 é o novo nome da norma ISO 17799. Está norma é um guia de boas praticas que descreve os objectivos de controlo e os controlos recomendados para a segurança da informação. Norma ISO 27001.Contém alguns a nexos, que resume alguns deste controlo. A norma ISO 27003 aborda alguma directriz para a implementação de SGSI e contem informações sobre como usar o modelo PDCA os requisitos das suas deferentes fases, ou seja ira fornecer uma bordagem de processo orientada para o sucesso da implementação de um SGSI de acorda com a norma ISO/IEC27001 A norma ISO/IEC 27004 especifica métrica e técnica de medição aplicáveis para determinar a eficácia de SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a segurança da informação essas métricas são usas principalmente para medir os componentes da fase Check do ciclo PDCA A norma ISO/27005 estabelece directrizes para a gestão de risco em segurança da informação, fornecendo indicações para implementação, monitorização e melhoria contínua do sistema de controlo. A norma 27005 é aplicada a todos tipos de organização que se destinam a gerir os riscos que possa comprimente a segurança de informação A norma ISO 27006 especifica os requisitos e fornece orientações para o organismo que prestem o serviço de auditória e certificação de um SGSI 26/10/2013 Sistema Lancesar:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z W X Y Z A B C D E F G H I J K L M N O P Q R S T U V Xtx fx viciado Tpt bt reyrwyzk
  • 9. Segurança de Informação . Amanha irei visitar o senhor presidente WHAIW DNAD RDODN KNICJN LN Criptografia: a criptografia é uma ciência que tem importância fundamental para a segurança da informação, a servir de base para de versas tecnologia e protocolo tais como a infrastetura de chaves publicas, ip de segurança e o Wired Equivalent Privacy(WEP). Suas propriedades que são o sigilo, interinidades, Autenticação e não repudio, garante o armazenamento, as comunicações e as transacções seguras, essencial no mundo actual. Acriptografia tem a função e importância cada vez mais fundamentais para a segurança das informações. A cifragem (Crípton) é o processo de disfarçar a mensagem original ou seja o texto claro, de tal modo que sua substância é escondida em uma mensagem com texto cifrado(Ciphertext),em quanto a de cifragem (decrepito) é o processo de transformar o texto cifrado de volta de texto claro em original. O processo de cifragem e decifragem são realizados via uso de algoritmos com funções matemáticas que transformam os textos claros, que podem ser lidos em textos cifrados, que são inteligíveis. A criptografia possibilita que propriedade importantes para a protecção da informação sejam alcançadas, dentre elas: Integridade, Aticidade, não repudio e sigilo Chave publica :outras as pessoas terem acesso Chave Priva: Para desencriptar a mensagem A criptografia de chave Privada ou Simétrica: como a data cription standard, (3des,idea,rc6 e outros), é responsável pelo sigilo das informações, por meio da utilização de uma chave secreta para a codificação e decodificação dos dados Samuel Palmira Mensagem Cifrado Mensagem Cifrada Rede Pública Mensagem Cifrada Decifrador Mensagem
  • 10. Segurança de Informação 16/11/13 Cifra de Vigenere É um método de encriptação que usa uma série de deferente cifra de césar baseadas em letra deuma senha Numa cifra de césar, cada letra do alfabeto e deslocada da sua posição um número fixo de lugares; por ex: Se tiver uma deslocação de 3 lugares a letra A torna-se D, letra B torna-se E. A cifra de Vigenere consiste na sequência de varias cifras de césar com deferentes valores de deslocamento Característica 1- A cifra de vigenere pertence a classe de substituição com palavras-chaves 2- O tipo da substituição a classe Polialfabetica monogramica porque faz uso de vários alfabetos cifrates, aplicados indivualmente aos caracteres da messagem clara. 3- O método faz uso de chaves que podem ser palavras ou chaves D=Decriptação E=Encriptação K=Chave P=Texto Puro Na Forma de Utilização Números temos que por 1º abecedários A BC D E F G H I J K L M N O P Q R S T U V W X Y Z 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Para Fazer encriptação P=K+E Para fazer Decriptação K-D
  • 11. Segurança de Informação Palavra YRX V O U A ESCOLA 2 1420 0 4 18 2 14 11 0 Encriptação da Palavra Chave Angola MOD 26 S e soma sere 28 tem que se fazer 28-26=2 P=3+0=3=D P=3+13=16=Q P=3+6=9=J P=3+14=17=R P=3+11=14=O P=3+0=3=D Tabela de Vigenere JOAO NETO A N G O L A AN 0 13 6 14 11 0
  • 12. Segurança de Informação Pra fazer decriptação utilizamos as chaves, encontramos a posição. Buscarmos a sua intercessão em função de número e a sua letra. A=0=J=J N=13=O=B G=6=A=G O=14=O=C L=11=N=Y A=0=E=E A=0=T=T N=13=O=B MOD_26 Se a soma der 28 tem que se fazer 28-26=2 Método de Encriptação: P=3+21=24=Y P=3+14=17=R P=3+20=23=X P=3+0=3 P=3+4=7 P=3+18=21 P=3+2=5 P=3+14=17 P=3+11=14 P=3+0=3
  • 13. Segurança de Informação Método Decriptação: P=24-3=21 P=17-3=14 P=23-3=20 P=3-3=0 P=7-3=4 P=21-3=18 P=5-3=2 P=17-3=14 P=14-3=11 P=3-3=0 Quando se utiliza a chave V O U A E S C O L A A N G O L A A N G O Para esta encriptação a palavra que foi encriptada foi a palavra angola que é a nossa palavra-chave é “ANGOLA” fez se encriptação na palavra ANGOLA JOAO SEBASTIAO DQJR ODDQJROD ANGO - LAAN -GOLAA 0 13 6 14 11