SlideShare uma empresa Scribd logo

Mecanismos de controlo de ameaças em segurança da informação

Transferir como DOCX, PDF
Simba Samuel
Simba Samuel
1 de 13
Segurança de Informação 24/08/2013 Mecanismo de controlo as meaças Na segurança da informação existem alguns mecanismos para preservar as informações de formar a garantir a sua disponibilidade confidencialidade, integridade e autenticidade. Estes mecanismos são designados de mecanismo de controlo as meaças: 1. Controle de acesso: este mecanismo permite controlar quais as pessoas autorizadas a entrar em determinado local e regista do dia e hora de acesso controlando e decidindo as permissões que cada utilizador tem um sistema de controlo de acesso é constituído por diferentes equipamentos periféricos de controlo comando, interligado a uma única unidade controle que permite em diferente vários acessos 2. Detecção de Intrusos: o sistema de tenção de intrusos alerta os administradores para entrada de possíveis introduzo no sistema tenta reconhecer um comportamento ou acção através intrusos, através da análise das informações disponíveis num sistema de computação ou redes 3. Criptografia: A criptografia é a arte de codificação que permite a transformação reversível da informação de forma a torna-la inteligível a terceiros. Está utilizar determinado algoritmo na chave secreta para a partir de conjunto de dados não criptografado produzido uma sequência de dados criptografados 4. Assinatura Digital: este mecanismo é um conjunto de dados criptografado associado a um documento que garante a sua integridade e autensidade. A utilização da assinatura digital prova que uma mensagem de um determinado emissor porque é um processo que apenas o asignatura pode realizar, num entanto receptor deve poder confirmar assinatura feita pelo emissor a mensagem não pode ser alterada, se ñ a assinatura ñ corresponderá mais ao documento. Validade de uma assinatura digital verifica-se esta a se basear a certificadas emitidas por entidades certificada credenciada 5. Protecção de dados armazenados: nestes mecanismos são utilizados antivírus que são softwares capaz de detectar e remover arquivo arquivos ou programas nocivos. A preocupação de os dados armazenados faz com que se desenvolvam alguns métodos para controlar acesso por pessoas externas como a criptografia ou assinatura digital
Segurança de Informação 6. Recuperação de desastres: (as catástrofes naturais indução, terremotos, etc.) Designam-se de desastres e são acontecimentos que pode causar grandes prejuízos porem com baixa probidade de ocorrência. No entanto leva nos a necessidade de implementar plano de imergência, para garantir a preservação dos documento e a própria integridade física dos colaborares de uma organização 07/09/2013 Modelo para segurança de informação: Norma ISO/IEC 27000 Objectivo da gestão de segurança de informação é manter a qualidade das informações. E a qualidade dessas informações depende da confidencialidade, integridade e disponibilidade das mesmas. Esse princípio foi desenvolvido por de modo a tornar o padrão global de segurança de informação: conjunto ISO/IEC 27000 Na serie ISO/IEC 27000 Constitui um padrão de certificação de sistema de gestão promovido pela Internacional Standard Organisation (ISO), onde neste caso aplica-se implementação de sistema de gestão da informação (SGSI), através de estabelecimento de uma política de segurança, de controlo adequados e da gestão de risco Está norma serve de apoio de as organizações dequalquer sector público ou privado para entender os fundamento, principio e conceitos que permitem uma melhor gestão dos seus activos de informação A família de normasISO/IEC 27000 inclui padrões que definem os requisitos para um SGSI e para certificação desses sistemas e prestam apoio direito e organização detalhada para o processos e requisitos dos ciclos PDCA: P-PLAN(Plano) D-Do (fazer) C-Check(Verificar) A-Act(Acção)
Segurança de Informação ISO 27000 contém termos e definições por utilizados ao longo da série 27000. Aplicação de qualquer padrão necessita de um vocabulário claramente definida para evitar diferentes interpretações de conceitos técnico e de gestão:  Controle de acesso: meios para a segurar que a cesso a activos está autorizado com base e restringidos com no trabalho em segurança  Responsabilidade: de uma entidade pelas suas acções e decisões  Activos: qualquer coisa que tenha valor para organização(informação, Software, o próprio PC, serviços, e as pessoas)  Atacar: tentar destruir, alterar, expor e inutilizar roubar ou obter acesso não autorizado ou fazer o uso não autorizado de um activo  Autenticação: prestação de garantia de uma característica reclamada por uma entidade é correcta  Autenticidade: propriedade que nos diz que uma entidade é aquilo que realmente a firma que uma entidade ser  Disponibilidade: propriedade de ser acessível e utilizável por uma entidade autorizada  Confidencialidade: propriedade que garante que a informação não esta disponível ou revelada ao indivíduos não autorizada, entidade ou processos  Controlar:meio de gestão de risco incluindo as políticas de procedimentos, directrizes, praticas ou estruturas organizacionais que podem ser de natureza administrativa técnica, de gestão ou de natureza legal  Acção Correctiva: acção para é eliminar a causa de uma não conformidade detectada ou outra acção situações indesejável  Directriz: recomendação do que é esperado que seja feito a fim de alcançar um objectivo  Segurança da informação: preservação da confidencialidade, integridade e disponibilidade das informações;  Sistema de Gestão de Informação: parte do sistema gestão global, com base numa abordagem de risco de negóciopara estabelecer, implementar, operar, monitorizar, rever, manter e melhor ar a segurança da informação  Risco de Segurança de Informação: potencial que uma a meaça explore uma vulnerabilidade de um activo ou grupos de activo e assim causar danos a organização  Integridade: propriedade de proteger a exactidão de activo  Sistema Gestão: âmbito das políticas procedimentos, directrizes e recursos associados para alcançar os objectivos de uma organização  Politica: Intenção e direcção geral como formalmente expressão pela gestão;  Processos: conjunto de actividades inter-relacionadas ou interactivas que transformam-se em produtos  Risco: combinação da probalidade de um em ventos e das suas consequências  Evento: ocorrência de um determinado conjunto de circunstâncias  Análise de risco: uso sistemático de informação para identificar fontes estimar a ocorrência de um risco
Segurança de Informação  Gestão de Risco: actividade coordenada para dirigir e controlar uma organização em relação a um determinado risco  Ameaça: causa potencial de um incidente indesejado, o que pode resultar em danos para um sistema ou resultar em danos para um sistema ou entidade  Vulnerabilidade: fraqueza de um activo ou controlo que pode ser explorado por a meaças Principais Benefícios do objectivonorma ISO/IEC27000 Beneficio:  Estabelecimento de uma metodologia clara da gestão de segurança  Reduzir o risco de perda, roubo ou alteração da informação  O acesso a informação é feito através das medidas de segurança  Confiança e regras claras para todos envolvidos de uma organização  Aumento de segurança relativamente a gestão de processos  Conformidade com a legislação vigente sobre informação vigente sobre informação pessoal, propriedade intelectual e outras,  Os riscos e os seus controlos são continuamente verificados  Garantia de qualidade e confidencialidade comercial ________________________________________________________________ 14/09/2013 Sistema de Gestão de segurança de Informação: Um Sistema de Gestão de Segurança da Informação (SGSI) fornecer um modelo para o estabelecimento, implementação operacionalização, monitorização, revisão, manutenção e melhoria da protecção de activos de informação com vista a alcançar os objectivos propósito por uma organização com base numa correcta de uma avaliação e gestão dos riscos inerentes a uma organização. A implementação bem sucessedida por um sistema de gestão de informação depende da analise dos requisitos para a protecção dos activos da informação, assim como dos controlos adequados para garantir essa protecção
Segurança de Informação Principio de Fundamentais para uma boa implementação de umSistema de Gestão de Segurança da Informação  A consensciencia das necessidades de segurança da informação  Atribuição de responsabilidade pela segurança de informação;  Incorporar o comprimisso da gestão e os interesses de todas as partes interessados  Reforçar os valores das sociedades;  Avaliar os riscos que determinam os controlos adequados para atingir níveis aceitáveis de riscos  Prevenção activa e detenção de incidentes de segurança da informação  Reavaliação contínua da segurança da informação; Em termos da segurança da Informação, um sistema de gestão permite que a organização:  Satisfaça os requisitos de segurança de clientes e outros interessados,  Melhores os seus planos actividades,  Cumpra os seus objectivos de segurança da informação  Faça uma gestão dos seus activos de informação de uma forma organizada o que facilita a melhoria a contínua ________________________________________________________________ 21/09/2013 Norma 27001 ISO /IEC 27001 Esta norma foi publicada pelo ISO/IEC em Outubro de 2005.Foi elaborada para especificar os requisitos para o estabelecimento, implementação, operacionalização, monitorização, revisão, manutenção e melhoria de SGSI, dentro do contesto de risco de negocio de uma organização. A certificação não é um requisito obrigatório da norma ISO/IEC27001, é uma decisão da organização. Num entanto, 18 mesesapoios a sua publicação mais de duas mil organizações 50 países foram certificadas o crescimento nessa área tem vindo aumentar
Segurança de Informação Objectivo da Norma ISO/IEC Esta norma foi estabelecida com âmbito em conjunto ISO/IEC 17799 e pretende a segurar a selecção de controlo de segurança adequado e proporcional. A implementação da norma 27001 faz com que o seu foco nas necessidade de negocio e considerar a segurança da informação como parte integrante dos objectivo de negocio para realizar a gestão dos riscos A norma ISO/IEC 27001 é universal para todos tipos de organização e especifica os requisitos para implementação consoantes as necessidades de uma organização A certificação em conformidade com a norma 27001 normalmente envolve um conceito de auditoria:  Revisão linear da documentação chave bem como da política da organização, declaração de aplicabilidade e plano de tratamento de risco.  Realização de uma auditoria em profundidade envolvendo o controlo de SGSI declarado na declaração na aplicabilidade e plano de tratamento de risco, bem como a documentação de suporte 05/10/2013 A renovação do certificado envolve algumas revisões periódicas confirmando que SGSI continua a trabalhar como área desejado 1. Sistema A norma ISO/IEC 27001 envolve alguns componentes: Estabelecer o SGSI:  Implementar e operar o SGSI  Monitorizar e Analisar criticamente o SGSI  Manter e melhorar o SGSI  Requisitos de Documentação  Controle de Documentação  Controle de Registos 2. Responsabilidade da Direcção:  Comprometimento da Direcção  Gestão de Recursos  Provisão de Recursos  Treino Consciencialização e competência 3. Auditória Internas que determinam se um SGSI:  Atende aos requisitos da norma  Atende aos requisitos de segurança identificados
Segurança de Informação  É executado conforme esperado Todo o procedimento de uma auditória é documentado e os auditores não podem auditar o seu próprio trabalho, conferindo objectividade e imparcialidade 4. Analise Critica de SGSI pela direcção: Entrada:  Resultado das auditória e análise criticas, situações das acções preventivas e correctiva,vulnerabilidade não completada a adequadamente nas análises anteriores, resultado recomendações e mudanças Saídas: Oportunidade de incluir melhoria e mudanças modificação do SGSI das necessidades dos recursos 5.Melhoria de SGSI: Melhoria contínua através do uso da política estabelecida, resultado das auditórias, análise dos eventos monitorizados e acções correctivas  Eliminação das não conformidades através das acções correctivas e preventivas PCAN: na verificação do sistema de segurança da informação  PCAN(Planear): Estabelecimento de política, processo e procedimentos relevante para administraçãode risco e para a melhoria da segurança da informação  DO(Fazer, implementar e operar): implementar e operacionalização das políticas de controle processo e procedimento do sistema  CHECK (Verificar/monitorar/Rever): expensão da performance dos processos em comparação com as políticas e objectivos de SGSI Este resultados devem ser reportado para gestão para análise  ACT (Agir/Manter/Optimizar): Tomada de acção correctiva e preventiva, baseado em auditória interna resultado SGSI e de mais informações provenientes da gestão ou de mais fontes relevante O resultado PCAN: é correcta gestão do SGSI tendo como base espectavas e necessidades de uma organização. Event Viewer, Logs File: da informação toda de como fazer um expensão
Segurança de Informação 12/10/2013 Família da Norma ISO/IEC27000 Dentro da serie 27000 ainda podemos referir as normas 27002(Código de praticas), 27003(Guia de Implementação), 27004(Métricas e medição), 27005(Directriz de gestão de risco) 27006(Directriz de serviços de recuperação desastraste). A norma ISO 27002 a partir de Julho de 2007 é o novo nome da norma ISO 17799. Está norma é um guia de boas praticas que descreve os objectivos de controlo e os controlos recomendados para a segurança da informação. Norma ISO 27001.Contém alguns a nexos, que resume alguns deste controlo. A norma ISO 27003 aborda alguma directriz para a implementação de SGSI e contem informações sobre como usar o modelo PDCA os requisitos das suas deferentes fases, ou seja ira fornecer uma bordagem de processo orientada para o sucesso da implementação de um SGSI de acorda com a norma ISO/IEC27001 A norma ISO/IEC 27004 especifica métrica e técnica de medição aplicáveis para determinar a eficácia de SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a segurança da informação essas métricas são usas principalmente para medir os componentes da fase Check do ciclo PDCA A norma ISO/27005 estabelece directrizes para a gestão de risco em segurança da informação, fornecendo indicações para implementação, monitorização e melhoria contínua do sistema de controlo. A norma 27005 é aplicada a todos tipos de organização que se destinam a gerir os riscos que possa comprimente a segurança de informação A norma ISO 27006 especifica os requisitos e fornece orientações para o organismo que prestem o serviço de auditória e certificação de um SGSI 26/10/2013 Sistema Lancesar:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z W X Y Z A B C D E F G H I J K L M N O P Q R S T U V Xtx fx viciado Tpt bt reyrwyzk
Segurança de Informação . Amanha irei visitar o senhor presidente WHAIW DNAD RDODN KNICJN LN Criptografia: a criptografia é uma ciência que tem importância fundamental para a segurança da informação, a servir de base para de versas tecnologia e protocolo tais como a infrastetura de chaves publicas, ip de segurança e o Wired Equivalent Privacy(WEP). Suas propriedades que são o sigilo, interinidades, Autenticação e não repudio, garante o armazenamento, as comunicações e as transacções seguras, essencial no mundo actual. Acriptografia tem a função e importância cada vez mais fundamentais para a segurança das informações. A cifragem (Crípton) é o processo de disfarçar a mensagem original ou seja o texto claro, de tal modo que sua substância é escondida em uma mensagem com texto cifrado(Ciphertext),em quanto a de cifragem (decrepito) é o processo de transformar o texto cifrado de volta de texto claro em original. O processo de cifragem e decifragem são realizados via uso de algoritmos com funções matemáticas que transformam os textos claros, que podem ser lidos em textos cifrados, que são inteligíveis. A criptografia possibilita que propriedade importantes para a protecção da informação sejam alcançadas, dentre elas: Integridade, Aticidade, não repudio e sigilo Chave publica :outras as pessoas terem acesso Chave Priva: Para desencriptar a mensagem A criptografia de chave Privada ou Simétrica: como a data cription standard, (3des,idea,rc6 e outros), é responsável pelo sigilo das informações, por meio da utilização de uma chave secreta para a codificação e decodificação dos dados Samuel Palmira Mensagem Cifrado Mensagem Cifrada Rede Pública Mensagem Cifrada Decifrador Mensagem
Segurança de Informação 16/11/13 Cifra de Vigenere É um método de encriptação que usa uma série de deferente cifra de césar baseadas em letra deuma senha Numa cifra de césar, cada letra do alfabeto e deslocada da sua posição um número fixo de lugares; por ex: Se tiver uma deslocação de 3 lugares a letra A torna-se D, letra B torna-se E. A cifra de Vigenere consiste na sequência de varias cifras de césar com deferentes valores de deslocamento Característica 1- A cifra de vigenere pertence a classe de substituição com palavras-chaves 2- O tipo da substituição a classe Polialfabetica monogramica porque faz uso de vários alfabetos cifrates, aplicados indivualmente aos caracteres da messagem clara. 3- O método faz uso de chaves que podem ser palavras ou chaves D=Decriptação E=Encriptação K=Chave P=Texto Puro Na Forma de Utilização Números temos que por 1º abecedários A BC D E F G H I J K L M N O P Q R S T U V W X Y Z 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Para Fazer encriptação P=K+E Para fazer Decriptação K-D
Segurança de Informação Palavra YRX V O U A ESCOLA 2 1420 0 4 18 2 14 11 0 Encriptação da Palavra Chave Angola MOD 26 S e soma sere 28 tem que se fazer 28-26=2 P=3+0=3=D P=3+13=16=Q P=3+6=9=J P=3+14=17=R P=3+11=14=O P=3+0=3=D Tabela de Vigenere JOAO NETO A N G O L A AN 0 13 6 14 11 0
Segurança de Informação Pra fazer decriptação utilizamos as chaves, encontramos a posição. Buscarmos a sua intercessão em função de número e a sua letra. A=0=J=J N=13=O=B G=6=A=G O=14=O=C L=11=N=Y A=0=E=E A=0=T=T N=13=O=B MOD_26 Se a soma der 28 tem que se fazer 28-26=2 Método de Encriptação: P=3+21=24=Y P=3+14=17=R P=3+20=23=X P=3+0=3 P=3+4=7 P=3+18=21 P=3+2=5 P=3+14=17 P=3+11=14 P=3+0=3
Segurança de Informação Método Decriptação: P=24-3=21 P=17-3=14 P=23-3=20 P=3-3=0 P=7-3=4 P=21-3=18 P=5-3=2 P=17-3=14 P=14-3=11 P=3-3=0 Quando se utiliza a chave V O U A E S C O L A A N G O L A A N G O Para esta encriptação a palavra que foi encriptada foi a palavra angola que é a nossa palavra-chave é “ANGOLA” fez se encriptação na palavra ANGOLA JOAO SEBASTIAO DQJR ODDQJROD ANGO - LAAN -GOLAA 0 13 6 14 11

Recomendados

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 

Recomendados

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001marcos.santosrs
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Bruno Luiz A. de Pai Paiva
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013Adriano Martins Antonio
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
boas-praticas-i.pdf
boas-praticas-i.pdfboas-praticas-i.pdf
boas-praticas-i.pdfSoniaDomingos4
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 

Mais conteúdo relacionado

Mais procurados

Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 

Mais procurados (19)

Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 

Semelhante a Mecanismos de controlo de ameaças em segurança da informação

Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kAldson Diego
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01profandreson
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TIEberson Pereira
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoEmerson Rocha
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoNeemias Lopes
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaESET Brasil
 

Semelhante a Mecanismos de controlo de ameaças em segurança da informação (20)

boas-praticas-i.pdf
boas-praticas-i.pdfboas-praticas-i.pdf
boas-praticas-i.pdf
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Confidencialidade.pdf
Confidencialidade.pdfConfidencialidade.pdf
Confidencialidade.pdf
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TI
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Aula 1
Aula 1Aula 1
Aula 1
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 

Mais de Simba Samuel

Manual do curso de cftv
Manual do curso de cftvManual do curso de cftv
Manual do curso de cftvSimba Samuel
 
012 computacao forense
012 computacao forense012 computacao forense
012 computacao forenseSimba Samuel
 
Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0Simba Samuel
 
Capítulo 3 funcionalidades e protocolos da camada de aplicação
Capítulo 3 funcionalidades e protocolos da camada de aplicaçãoCapítulo 3 funcionalidades e protocolos da camada de aplicação
Capítulo 3 funcionalidades e protocolos da camada de aplicaçãoSimba Samuel
 
Linguagem de-programacao-html 2
Linguagem de-programacao-html 2Linguagem de-programacao-html 2
Linguagem de-programacao-html 2Simba Samuel
 
Android in action 2nd edition 2011
Android in action 2nd edition 2011Android in action 2nd edition 2011
Android in action 2nd edition 2011Simba Samuel
 
Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)Simba Samuel
 
Mgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projetoMgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projetoSimba Samuel
 

Mais de Simba Samuel (15)

Manual cctv v3.1
Manual cctv v3.1 Manual cctv v3.1
Manual cctv v3.1
 
Manual do curso de cftv
Manual do curso de cftvManual do curso de cftv
Manual do curso de cftv
 
012 computacao forense
012 computacao forense012 computacao forense
012 computacao forense
 
Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
 
Angola2
Angola2Angola2
Angola2
 
Motivação
MotivaçãoMotivação
Motivação
 
Html
HtmlHtml
Html
 
Capítulo 3 funcionalidades e protocolos da camada de aplicação
Capítulo 3 funcionalidades e protocolos da camada de aplicaçãoCapítulo 3 funcionalidades e protocolos da camada de aplicação
Capítulo 3 funcionalidades e protocolos da camada de aplicação
 
Linguagem de-programacao-html 2
Linguagem de-programacao-html 2Linguagem de-programacao-html 2
Linguagem de-programacao-html 2
 
Android in action 2nd edition 2011
Android in action 2nd edition 2011Android in action 2nd edition 2011
Android in action 2nd edition 2011
 
Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)
 
Poster08
Poster08Poster08
Poster08
 
Mgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projetoMgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projeto
 
Exercicios
ExerciciosExercicios
Exercicios
 

Mecanismos de controlo de ameaças em segurança da informação

  • 1. Segurança de Informação 24/08/2013 Mecanismo de controlo as meaças Na segurança da informação existem alguns mecanismos para preservar as informações de formar a garantir a sua disponibilidade confidencialidade, integridade e autenticidade. Estes mecanismos são designados de mecanismo de controlo as meaças: 1. Controle de acesso: este mecanismo permite controlar quais as pessoas autorizadas a entrar em determinado local e regista do dia e hora de acesso controlando e decidindo as permissões que cada utilizador tem um sistema de controlo de acesso é constituído por diferentes equipamentos periféricos de controlo comando, interligado a uma única unidade controle que permite em diferente vários acessos 2. Detecção de Intrusos: o sistema de tenção de intrusos alerta os administradores para entrada de possíveis introduzo no sistema tenta reconhecer um comportamento ou acção através intrusos, através da análise das informações disponíveis num sistema de computação ou redes 3. Criptografia: A criptografia é a arte de codificação que permite a transformação reversível da informação de forma a torna-la inteligível a terceiros. Está utilizar determinado algoritmo na chave secreta para a partir de conjunto de dados não criptografado produzido uma sequência de dados criptografados 4. Assinatura Digital: este mecanismo é um conjunto de dados criptografado associado a um documento que garante a sua integridade e autensidade. A utilização da assinatura digital prova que uma mensagem de um determinado emissor porque é um processo que apenas o asignatura pode realizar, num entanto receptor deve poder confirmar assinatura feita pelo emissor a mensagem não pode ser alterada, se ñ a assinatura ñ corresponderá mais ao documento. Validade de uma assinatura digital verifica-se esta a se basear a certificadas emitidas por entidades certificada credenciada 5. Protecção de dados armazenados: nestes mecanismos são utilizados antivírus que são softwares capaz de detectar e remover arquivo arquivos ou programas nocivos. A preocupação de os dados armazenados faz com que se desenvolvam alguns métodos para controlar acesso por pessoas externas como a criptografia ou assinatura digital
  • 2. Segurança de Informação 6. Recuperação de desastres: (as catástrofes naturais indução, terremotos, etc.) Designam-se de desastres e são acontecimentos que pode causar grandes prejuízos porem com baixa probidade de ocorrência. No entanto leva nos a necessidade de implementar plano de imergência, para garantir a preservação dos documento e a própria integridade física dos colaborares de uma organização 07/09/2013 Modelo para segurança de informação: Norma ISO/IEC 27000 Objectivo da gestão de segurança de informação é manter a qualidade das informações. E a qualidade dessas informações depende da confidencialidade, integridade e disponibilidade das mesmas. Esse princípio foi desenvolvido por de modo a tornar o padrão global de segurança de informação: conjunto ISO/IEC 27000 Na serie ISO/IEC 27000 Constitui um padrão de certificação de sistema de gestão promovido pela Internacional Standard Organisation (ISO), onde neste caso aplica-se implementação de sistema de gestão da informação (SGSI), através de estabelecimento de uma política de segurança, de controlo adequados e da gestão de risco Está norma serve de apoio de as organizações dequalquer sector público ou privado para entender os fundamento, principio e conceitos que permitem uma melhor gestão dos seus activos de informação A família de normasISO/IEC 27000 inclui padrões que definem os requisitos para um SGSI e para certificação desses sistemas e prestam apoio direito e organização detalhada para o processos e requisitos dos ciclos PDCA: P-PLAN(Plano) D-Do (fazer) C-Check(Verificar) A-Act(Acção)
  • 3. Segurança de Informação ISO 27000 contém termos e definições por utilizados ao longo da série 27000. Aplicação de qualquer padrão necessita de um vocabulário claramente definida para evitar diferentes interpretações de conceitos técnico e de gestão:  Controle de acesso: meios para a segurar que a cesso a activos está autorizado com base e restringidos com no trabalho em segurança  Responsabilidade: de uma entidade pelas suas acções e decisões  Activos: qualquer coisa que tenha valor para organização(informação, Software, o próprio PC, serviços, e as pessoas)  Atacar: tentar destruir, alterar, expor e inutilizar roubar ou obter acesso não autorizado ou fazer o uso não autorizado de um activo  Autenticação: prestação de garantia de uma característica reclamada por uma entidade é correcta  Autenticidade: propriedade que nos diz que uma entidade é aquilo que realmente a firma que uma entidade ser  Disponibilidade: propriedade de ser acessível e utilizável por uma entidade autorizada  Confidencialidade: propriedade que garante que a informação não esta disponível ou revelada ao indivíduos não autorizada, entidade ou processos  Controlar:meio de gestão de risco incluindo as políticas de procedimentos, directrizes, praticas ou estruturas organizacionais que podem ser de natureza administrativa técnica, de gestão ou de natureza legal  Acção Correctiva: acção para é eliminar a causa de uma não conformidade detectada ou outra acção situações indesejável  Directriz: recomendação do que é esperado que seja feito a fim de alcançar um objectivo  Segurança da informação: preservação da confidencialidade, integridade e disponibilidade das informações;  Sistema de Gestão de Informação: parte do sistema gestão global, com base numa abordagem de risco de negóciopara estabelecer, implementar, operar, monitorizar, rever, manter e melhor ar a segurança da informação  Risco de Segurança de Informação: potencial que uma a meaça explore uma vulnerabilidade de um activo ou grupos de activo e assim causar danos a organização  Integridade: propriedade de proteger a exactidão de activo  Sistema Gestão: âmbito das políticas procedimentos, directrizes e recursos associados para alcançar os objectivos de uma organização  Politica: Intenção e direcção geral como formalmente expressão pela gestão;  Processos: conjunto de actividades inter-relacionadas ou interactivas que transformam-se em produtos  Risco: combinação da probalidade de um em ventos e das suas consequências  Evento: ocorrência de um determinado conjunto de circunstâncias  Análise de risco: uso sistemático de informação para identificar fontes estimar a ocorrência de um risco
  • 4. Segurança de Informação  Gestão de Risco: actividade coordenada para dirigir e controlar uma organização em relação a um determinado risco  Ameaça: causa potencial de um incidente indesejado, o que pode resultar em danos para um sistema ou resultar em danos para um sistema ou entidade  Vulnerabilidade: fraqueza de um activo ou controlo que pode ser explorado por a meaças Principais Benefícios do objectivonorma ISO/IEC27000 Beneficio:  Estabelecimento de uma metodologia clara da gestão de segurança  Reduzir o risco de perda, roubo ou alteração da informação  O acesso a informação é feito através das medidas de segurança  Confiança e regras claras para todos envolvidos de uma organização  Aumento de segurança relativamente a gestão de processos  Conformidade com a legislação vigente sobre informação vigente sobre informação pessoal, propriedade intelectual e outras,  Os riscos e os seus controlos são continuamente verificados  Garantia de qualidade e confidencialidade comercial ________________________________________________________________ 14/09/2013 Sistema de Gestão de segurança de Informação: Um Sistema de Gestão de Segurança da Informação (SGSI) fornecer um modelo para o estabelecimento, implementação operacionalização, monitorização, revisão, manutenção e melhoria da protecção de activos de informação com vista a alcançar os objectivos propósito por uma organização com base numa correcta de uma avaliação e gestão dos riscos inerentes a uma organização. A implementação bem sucessedida por um sistema de gestão de informação depende da analise dos requisitos para a protecção dos activos da informação, assim como dos controlos adequados para garantir essa protecção
  • 5. Segurança de Informação Principio de Fundamentais para uma boa implementação de umSistema de Gestão de Segurança da Informação  A consensciencia das necessidades de segurança da informação  Atribuição de responsabilidade pela segurança de informação;  Incorporar o comprimisso da gestão e os interesses de todas as partes interessados  Reforçar os valores das sociedades;  Avaliar os riscos que determinam os controlos adequados para atingir níveis aceitáveis de riscos  Prevenção activa e detenção de incidentes de segurança da informação  Reavaliação contínua da segurança da informação; Em termos da segurança da Informação, um sistema de gestão permite que a organização:  Satisfaça os requisitos de segurança de clientes e outros interessados,  Melhores os seus planos actividades,  Cumpra os seus objectivos de segurança da informação  Faça uma gestão dos seus activos de informação de uma forma organizada o que facilita a melhoria a contínua ________________________________________________________________ 21/09/2013 Norma 27001 ISO /IEC 27001 Esta norma foi publicada pelo ISO/IEC em Outubro de 2005.Foi elaborada para especificar os requisitos para o estabelecimento, implementação, operacionalização, monitorização, revisão, manutenção e melhoria de SGSI, dentro do contesto de risco de negocio de uma organização. A certificação não é um requisito obrigatório da norma ISO/IEC27001, é uma decisão da organização. Num entanto, 18 mesesapoios a sua publicação mais de duas mil organizações 50 países foram certificadas o crescimento nessa área tem vindo aumentar
  • 6. Segurança de Informação Objectivo da Norma ISO/IEC Esta norma foi estabelecida com âmbito em conjunto ISO/IEC 17799 e pretende a segurar a selecção de controlo de segurança adequado e proporcional. A implementação da norma 27001 faz com que o seu foco nas necessidade de negocio e considerar a segurança da informação como parte integrante dos objectivo de negocio para realizar a gestão dos riscos A norma ISO/IEC 27001 é universal para todos tipos de organização e especifica os requisitos para implementação consoantes as necessidades de uma organização A certificação em conformidade com a norma 27001 normalmente envolve um conceito de auditoria:  Revisão linear da documentação chave bem como da política da organização, declaração de aplicabilidade e plano de tratamento de risco.  Realização de uma auditoria em profundidade envolvendo o controlo de SGSI declarado na declaração na aplicabilidade e plano de tratamento de risco, bem como a documentação de suporte 05/10/2013 A renovação do certificado envolve algumas revisões periódicas confirmando que SGSI continua a trabalhar como área desejado 1. Sistema A norma ISO/IEC 27001 envolve alguns componentes: Estabelecer o SGSI:  Implementar e operar o SGSI  Monitorizar e Analisar criticamente o SGSI  Manter e melhorar o SGSI  Requisitos de Documentação  Controle de Documentação  Controle de Registos 2. Responsabilidade da Direcção:  Comprometimento da Direcção  Gestão de Recursos  Provisão de Recursos  Treino Consciencialização e competência 3. Auditória Internas que determinam se um SGSI:  Atende aos requisitos da norma  Atende aos requisitos de segurança identificados
  • 7. Segurança de Informação  É executado conforme esperado Todo o procedimento de uma auditória é documentado e os auditores não podem auditar o seu próprio trabalho, conferindo objectividade e imparcialidade 4. Analise Critica de SGSI pela direcção: Entrada:  Resultado das auditória e análise criticas, situações das acções preventivas e correctiva,vulnerabilidade não completada a adequadamente nas análises anteriores, resultado recomendações e mudanças Saídas: Oportunidade de incluir melhoria e mudanças modificação do SGSI das necessidades dos recursos 5.Melhoria de SGSI: Melhoria contínua através do uso da política estabelecida, resultado das auditórias, análise dos eventos monitorizados e acções correctivas  Eliminação das não conformidades através das acções correctivas e preventivas PCAN: na verificação do sistema de segurança da informação  PCAN(Planear): Estabelecimento de política, processo e procedimentos relevante para administraçãode risco e para a melhoria da segurança da informação  DO(Fazer, implementar e operar): implementar e operacionalização das políticas de controle processo e procedimento do sistema  CHECK (Verificar/monitorar/Rever): expensão da performance dos processos em comparação com as políticas e objectivos de SGSI Este resultados devem ser reportado para gestão para análise  ACT (Agir/Manter/Optimizar): Tomada de acção correctiva e preventiva, baseado em auditória interna resultado SGSI e de mais informações provenientes da gestão ou de mais fontes relevante O resultado PCAN: é correcta gestão do SGSI tendo como base espectavas e necessidades de uma organização. Event Viewer, Logs File: da informação toda de como fazer um expensão
  • 8. Segurança de Informação 12/10/2013 Família da Norma ISO/IEC27000 Dentro da serie 27000 ainda podemos referir as normas 27002(Código de praticas), 27003(Guia de Implementação), 27004(Métricas e medição), 27005(Directriz de gestão de risco) 27006(Directriz de serviços de recuperação desastraste). A norma ISO 27002 a partir de Julho de 2007 é o novo nome da norma ISO 17799. Está norma é um guia de boas praticas que descreve os objectivos de controlo e os controlos recomendados para a segurança da informação. Norma ISO 27001.Contém alguns a nexos, que resume alguns deste controlo. A norma ISO 27003 aborda alguma directriz para a implementação de SGSI e contem informações sobre como usar o modelo PDCA os requisitos das suas deferentes fases, ou seja ira fornecer uma bordagem de processo orientada para o sucesso da implementação de um SGSI de acorda com a norma ISO/IEC27001 A norma ISO/IEC 27004 especifica métrica e técnica de medição aplicáveis para determinar a eficácia de SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a segurança da informação essas métricas são usas principalmente para medir os componentes da fase Check do ciclo PDCA A norma ISO/27005 estabelece directrizes para a gestão de risco em segurança da informação, fornecendo indicações para implementação, monitorização e melhoria contínua do sistema de controlo. A norma 27005 é aplicada a todos tipos de organização que se destinam a gerir os riscos que possa comprimente a segurança de informação A norma ISO 27006 especifica os requisitos e fornece orientações para o organismo que prestem o serviço de auditória e certificação de um SGSI 26/10/2013 Sistema Lancesar:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z W X Y Z A B C D E F G H I J K L M N O P Q R S T U V Xtx fx viciado Tpt bt reyrwyzk
  • 9. Segurança de Informação . Amanha irei visitar o senhor presidente WHAIW DNAD RDODN KNICJN LN Criptografia: a criptografia é uma ciência que tem importância fundamental para a segurança da informação, a servir de base para de versas tecnologia e protocolo tais como a infrastetura de chaves publicas, ip de segurança e o Wired Equivalent Privacy(WEP). Suas propriedades que são o sigilo, interinidades, Autenticação e não repudio, garante o armazenamento, as comunicações e as transacções seguras, essencial no mundo actual. Acriptografia tem a função e importância cada vez mais fundamentais para a segurança das informações. A cifragem (Crípton) é o processo de disfarçar a mensagem original ou seja o texto claro, de tal modo que sua substância é escondida em uma mensagem com texto cifrado(Ciphertext),em quanto a de cifragem (decrepito) é o processo de transformar o texto cifrado de volta de texto claro em original. O processo de cifragem e decifragem são realizados via uso de algoritmos com funções matemáticas que transformam os textos claros, que podem ser lidos em textos cifrados, que são inteligíveis. A criptografia possibilita que propriedade importantes para a protecção da informação sejam alcançadas, dentre elas: Integridade, Aticidade, não repudio e sigilo Chave publica :outras as pessoas terem acesso Chave Priva: Para desencriptar a mensagem A criptografia de chave Privada ou Simétrica: como a data cription standard, (3des,idea,rc6 e outros), é responsável pelo sigilo das informações, por meio da utilização de uma chave secreta para a codificação e decodificação dos dados Samuel Palmira Mensagem Cifrado Mensagem Cifrada Rede Pública Mensagem Cifrada Decifrador Mensagem
  • 10. Segurança de Informação 16/11/13 Cifra de Vigenere É um método de encriptação que usa uma série de deferente cifra de césar baseadas em letra deuma senha Numa cifra de césar, cada letra do alfabeto e deslocada da sua posição um número fixo de lugares; por ex: Se tiver uma deslocação de 3 lugares a letra A torna-se D, letra B torna-se E. A cifra de Vigenere consiste na sequência de varias cifras de césar com deferentes valores de deslocamento Característica 1- A cifra de vigenere pertence a classe de substituição com palavras-chaves 2- O tipo da substituição a classe Polialfabetica monogramica porque faz uso de vários alfabetos cifrates, aplicados indivualmente aos caracteres da messagem clara. 3- O método faz uso de chaves que podem ser palavras ou chaves D=Decriptação E=Encriptação K=Chave P=Texto Puro Na Forma de Utilização Números temos que por 1º abecedários A BC D E F G H I J K L M N O P Q R S T U V W X Y Z 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Para Fazer encriptação P=K+E Para fazer Decriptação K-D
  • 11. Segurança de Informação Palavra YRX V O U A ESCOLA 2 1420 0 4 18 2 14 11 0 Encriptação da Palavra Chave Angola MOD 26 S e soma sere 28 tem que se fazer 28-26=2 P=3+0=3=D P=3+13=16=Q P=3+6=9=J P=3+14=17=R P=3+11=14=O P=3+0=3=D Tabela de Vigenere JOAO NETO A N G O L A AN 0 13 6 14 11 0
  • 12. Segurança de Informação Pra fazer decriptação utilizamos as chaves, encontramos a posição. Buscarmos a sua intercessão em função de número e a sua letra. A=0=J=J N=13=O=B G=6=A=G O=14=O=C L=11=N=Y A=0=E=E A=0=T=T N=13=O=B MOD_26 Se a soma der 28 tem que se fazer 28-26=2 Método de Encriptação: P=3+21=24=Y P=3+14=17=R P=3+20=23=X P=3+0=3 P=3+4=7 P=3+18=21 P=3+2=5 P=3+14=17 P=3+11=14 P=3+0=3
  • 13. Segurança de Informação Método Decriptação: P=24-3=21 P=17-3=14 P=23-3=20 P=3-3=0 P=7-3=4 P=21-3=18 P=5-3=2 P=17-3=14 P=14-3=11 P=3-3=0 Quando se utiliza a chave V O U A E S C O L A A N G O L A A N G O Para esta encriptação a palavra que foi encriptada foi a palavra angola que é a nossa palavra-chave é “ANGOLA” fez se encriptação na palavra ANGOLA JOAO SEBASTIAO DQJR ODDQJROD ANGO - LAAN -GOLAA 0 13 6 14 11