Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

NBR 27002 - Segurança da Informação

No description
by

Luis Eduardo da Rosa

on 25 June 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of NBR 27002 - Segurança da Informação

NBR ISO 27002
Luis Eduardo
Ivoney Borges
Odmar Gomes
Paulo

Segurança da informação

O que é Informação?

Tipos e meios: impressa, armazenada eletronicamente,
transmitida por correios ou aparelhos eletrônicos, em filme, em áudio, etc.

Segurança da informação é a proteção desses dados, com relação às principais ameaças existentes.

Ela é obtida por um conjunto de controles adequados a situação existente.
A sequêcia da obtenção desses controles é:

1. Estabelecer os controles;

2. Implementar;

3. Monitorar;

4. Analisar;

5. Melhorar.
11. Controle de Acessos

11.1 Requisitos de negócio para controle de acesso
- Política de controle de acesso: regras claras e documentadas.

11.2 Gerenciamento de acesso do usuário
- Assegurar acesso ao usuário autorizado e prevenir acesso não autorizado a sistemas de informação : acompanhar o usuário do registro até seu cancelamento; controlar os privilégios.
- Controle das senhas.
- Direito de acesso revisado.

11.3 Responsabilidade dos usuários
- Usuário deve manter o controle de acesso.
- Não anotar senhas, mudar quando houver indício de comprometimento.
- Não compartilhar senha.
- Computadores com travamento.
11.4 Controle de acesso à rede
- Controle das redes e serviços de redes a que são permitidos.
- Autenticação de usuário externo.
- Identificação dos equipamentos.
- Aplicar restrições.

11.5 Controle de acesso ao Sistema Operacional
- Autenticar usuários.
- Registrar tentativas.
- Limite de tempo de sessão inativa.

11.6 Controle de acesso à aplicação e à informação
- Controlar ações do usuário: ler, escrever, excluir e executar.

11.7 Computação móvel e trabalho remoto
- Convém aplicar segurança no trabalho remoto em ambientes desprotegidos (criptografia).
- Acesso à informação por familiares e amigos.
12. Aquisição, desenvolvimento e manutenção de sistemas de informação

12.1 Requisitos de segurança de sistemas de informação
- Avaliar os pacotes, desenvolvidos ou comprados.

12.2 Processamento correto nas aplicações
- Prevenir erros, perdas, modificação não autorizada ou mau uso da informação, principalmente a valiosa ou aquela que exerça impacto.

12.3 Controle criptográfico
- Proteger a confiabilidade e ou a integridade da informação.

12.4 Segurança dos arquivos do sistema
- Atualização do software somente por pelos administradores.
- Risco de software sem suporte.
12.5 Segurança em processos de desenvolvimento e de suporte
- Mudanças sejam feitas por pessoas autorizadadas.
- Aprovação das mudanças antes de agir. Evitar mudança.
- Monitoramento das atividades do pessoal, dentro da lei. Evitar vazamento de informação.
- Certificação da qualidade de serviço de terceiro.

12.6 Gestão de vulnerabilidades técnicas
- Definir responsabilidades
- Análise/avaliação de riscos.
- Prazo para a reação a notificações de potenciais notificações.
- Desativação do serviço.
- Aumento do monitoramento para prevenir ataques.
- Aumento da conscientização.
Capítulo 8 – Segurança em recursos humanos

Capítulo 9 – Segurança física e do ambiente

8.1 - Antes da contratação

8.1.1 Papéis e responsabilidade

8.1.2 Seleção

8.1.3 Termos e condições de contratação

Segurança em Recursos Humanos

8.2 – Durante a contratação

8.2.1 – Responsabilidade na direção

8.2.2 Conscientização, educação e treinamento em segurança da informação

8.2.3 Processo disciplinar

Segurança em Recursos Humanos

8.3 – Encerramento ou mudança da contratação

8.3.1 – Encerramento de atividades

8.3.2 Devolução de ativos

8.3.3 Retirada de direitos de acesso

Segurança em Recursos Humanos
9.1 – Áreas seguras

9.1.1 Perímetro de segurança física

9.1.2 Controle de entrada física

9.1.3 Segurança em escritórios, salas e instalações

9.1.4 Proteção contra ameaças externas e do meio ambiente

9.1.5 Trabalhando em áreas seguras

9.1.6 Acesso do público, áreas de entrega e de carregamento

Segurança física e do ambiente
9.2 – Segurança de equipamentos

9.2.1 – Instalação e proteção do equipamento

9.2.2 Utilidades

9.2.3 Segurança do cabeamento

9.2.4 Manutenção dos equipamentos

9.2.5 Segurança de equipamentos fora das dependências da organização

9.2.6 Reutilização e alienação segura de equipamentos

9.2.7 Remoção de propriedade

Segurança física e do ambiente
8.3 – Encerramento ou mudança da contratação


8.3.1 – Encerramento de atividades

8.3.2 Devolução de ativos

8.3.3 Retirada de direitos de acesso
Segurança física e do ambiente
9.1 - Áreas Seguras
Objetivo: Previnir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.
Instalação de processamento --> lugares seguros
A proteção oferecida seja compatível com os riscos identificados.
-----------------------------------------------------------
9.1.1 - Perímetro de Segurança
*Controle --> Perímetro de Segurança
*Diretrizes para implementação
1º - local fisicamente "seguro"
2º - De preferência em um local com pouco tráfego de pessoas não autorizadas.
3º - barreiras físicas para impedir o acesso físico não autorizado e a contaminação do meio ambiente.
4º - todas as portas devem ter alarmes, monitoradas e testadas juntamente com as paredes.
5º - Sistemas adequados de detecção de intrusos.
Uso de múltiplas barreiras.
Segurança física e do ambiente
9.1.2 - Controle de entrada física
*controle --> As áreas de segurança seja protegidas por controles para controlar o tráfego das pessoas autorizadas.
*Diretrizes para implementação
1º - Data e hora de entrada dos visitantes
2º - Acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas.
3º - Funcionários, visitantes e terceiros tenham identificação
4º - Evitar o acesso de terceiros as áreas de processamento sensível.
-----------------------------------------------------------
9.1.3 - Segurança em escritórios, salas e instalações
*Controle --> Convém que seja projetada e aplicada segurança física para escritórios, salas e instalações.
*Diretrizes para implementação
1º - Regulamento e normas de saúde aplicáveis
2º - As instalações chaves sejam localizadas de maneira a evitar o acesso do público
3º - Os edifícios sejam discretos
4º - Informações sobre funcionários e instalações devem ficar em locais seguros.
Segurança física e do ambiente
9.1.4 - Proteção contra ameaças externas e do meio ambiente
*Controle --> proteção contra desastres naturais ou causados pelo homem.
*Diretrizes para implementação
1º - Materiais perigosos sejam colocados a uma distância segura.
2º - Backup a uma distância segura.
3º - equipamentos de detecção e combate a incêndio
-----------------------------------------------------------
9.1.5 - Trabalho em áreas seguras
*Controle --> Convém que seja projetada e aplicada proteção física.
*Diretrizes para implementação
1º - Conhecimento sobre as áreas seguras apenas se for necessário.
2º - Evitar o trabalho não supervisionado.
3º - Áreas seguras ser supervisionada e trancada periodicamente.
4º - Não seja permitido o uso de máquinas fotográficas, gravadores de vídeos salvo se autorizado.
Segurança física e do ambiente
9.1.6 - Acesso do público, áreas de entrega e de carregamento
*Controle --> Controlar o acesso de pessoas não autorizadas
*Diretrizes para implementação
1º - Acesso de uma áreas de entrega fique restrito ao pessoal autorizado
2º - As áreas de entrega devem ser projetadas.
3º - As portas da área externa devem estar fechadas quando as portas internas estiverem abertas.
4º - Os materiais entregues devem ser inspecionados
-----------------------------------------------------------
9.2 - Segurança dos equipamentos
Objetivo - impedir perdas, danos, furtos ou roubo.
-----------------------------------------------------------
9.2.1 - Instalação e proteção dos equipamentos
*Controle - Os equipamentos sejam colocados em locais protegidos
-----------------------------------------------------------
9.2.2 - Utilidades
*Controle --> equipamentos protegidos contra a falta de energia elétrica e outras interrupções por falhas das utilidades
Segurança física e do ambiente
9.2.3 - Segurança do cabeamento
*Controle --> Convém que o cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de telecomunicações ou danos.
-----------------------------------------------------------
9.2.4 - Manutenção dos equipamentos
*Controle --> Convém que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes.
-----------------------------------------------------------
9.2.5 - Segurança de equipamentos fora das dependências da organização
*Controle --> Convém que sejam tomadas medidas de segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.
-----------------------------------------------------------
9.2.6 - Reutilização e alienação de equipamentos
*Controle --> Convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam exterminados antes do descarte.
-----------------------------------------------------------
9.2.7 - Remoção de propriedade
Convém que todos os equipamentos, informações ou softwares sejam retirados do local com autorização.
Segurança física e do ambiente
10.1 - Procedimentos e responsabilidades
Objetivo - Garantir a operação segura e correta dos recursos de processamento da informação.
Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados.
Convém que seja ultilizado a segregação de funções quando apropriado, para reduzir o risco de mau uso ou uso doloso dos sistemas
-----------------------------------------------------------
10.1.1 - Documentação dos procedimentos de operação
Convém que os procedimentos de operação sejam documentados, mantidos atualizados e disponíveis para todos os usuários que deles necessitem.
-----------------------------------------------------------
10.1.2 - Gestão de mudanças
convém que modificações nos recursos de processamento da informação sejam controladas.
-----------------------------------------------------------
10.1.3 - Segregação das funções
Convém que as funções e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação ou uso indevido ou não intencional dos ativos da organização.
-----------------------------------------------------------
10.1.4 - Separação dos recursos de desenvolvimento, teste e produção
Convém que recursos de desenvolvimento, teste e produção sejam separados para reduzir o risco de acessos ou modificações não autorizadas ao sistemas operacionais.
Gerenciamento das Operações e comunicações
10.2 - Gerenciamento de serviços terceirizados
Objetivo: Implementar e manter o nível apropriado de segurança de informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados.
-----------------------------------------------------------
10.2.1 - Entrega de serviços
10.2.2 - Monitoramento e análise crítica de serviços terceirizados
10.2.3 - Gerenciamento de Mudanças para serviços terceirizados
-----------------------------------------------------------
10.3 - Planejamento e aceitação dos sistemas
Objetivo: Minimizar o risco de falhas
10.3.1 - Gestão de capacidade
10.3.2 - Aceitação de Sistemas
-----------------------------------------------------------
10.4 - Proteção contra códigos maliciosos e códigos móveis
Objetivo: Proteger a integridade do software e da informação.
10.4.1 - Controle contra códigos maliciosos
10.4.2 - Controles contra códigos móveis
-----------------------------------------------------------
10.5 - Cópias de segurança
Objetivo: Manter a integridade e disponibilidade da informação e dos recursos de processamento de informação.
10.5.1 - Cópias de segurança das informações.
Gerenciamento das Operações e comunicações
10.6 - Gerenciamento da segurança em redes
Objetivo: garantir a proteção das informações em redes e a proteção da infra-estrutura de suporte.
O gerenciamento seguro de redes, que pode ir muito além dos limites da organização, requer cuidadosas considerações relacionadas, implicações legais, monitoramento e proteção.
10.6.1 - Controles de redes
10.6.2 - Segurança dos serviços de redes
-----------------------------------------------------------
10.7 - Manuseio de mídias
Objetivo: Previnir contra divugação não autorizada, modificação, remoção ou destruição dos ativos e interrupções das atividades do negócio.
10.7.1 - Gerenciamento com as mídias removíveis
10.7.2 - Descarte de mídias
10.7.3 - Procedimentos para tratamento de informação
10.7.4 - Segurança da documentação.
-----------------------------------------------------------
10.8 - Troca de informações
Objetivo: Manter a segurança na troca de informações e softwares internamente à organização e com quaisquer entidades externas.
10.8.1 - Políticas e procedimentos para troca de informações
10.8.2 - Acordos para as trocas de informações
10.8.3 - Mídias de trânsito
10.8.4 - Mensagens eletrônicas
10.8.5 - Sistemas de informação do negócio
Gerenciamento das Operações e comunicações
10.9 - Serviços de comércio eletrônico
Objetivo: Garantir a segurança de serviço de comércio eletrônico e sua utilização segura.
10.9.1 - Comércio eletrônico
10.9.2 - Transações online
10.9.3 - Informações publicamente disponível
-----------------------------------------------------------
10.10 - Minitoramento
Objetivo: Detectar atividades não autorizadas da informação
10.10.1 - Registros de auditoria
10.10.2 - Monitoramento do uso do sistema
10.10.3 - Proteção das informações dos registros (log)
10.10.4 - Registro (log) de administrador e operador
10.10.5 - Registro (log) de falhas
10.10.6 - Sincronização dos relógios
Gerenciamento das Operações e comunicações
Perguntas?
Full transcript