Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC e 27002

Tamanho: px
Começar a partir da página:

Download "Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002"

Transcrição

1 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC e Guilherme Soares de Carvalho Serviço Federal de Processamento de Dados SGAN Módulo V Brasília DF - Brasil Eduardo Amadeu Dutra Moresi Universidade Católica de Brasília Q. S Lote 01 - EPCT - Brasília DF - Brasil RESUMO Os controles de acesso, físicos ou lógicos, têm como objetivo proteger os recursos computacionais contra perdas, danos, modificações ou divulgação não autorizada de informações. Os órgãos da Administração Pública Federal possuem um grande conjunto de sistemas de informação internos e, dentre estes, vários possuem um controle de acesso lógico próprio, mas que não foram analisados quanto à conformidade com a política de segurança da informação do órgão e as recomendações para controle de acessos definidas pelas normas técnicas de segurança da informação da Associação Brasileira de Normas Técnicas (ABNT). As normas ABNT NBR ISO/IEC e são utilizadas e reconhecidas mundialmente como as melhores práticas para o gerenciamento da segurança da informação. Neste trabalho foi realizada uma análise do Sistema de Controle de Acesso às Aplicações de um órgão da Administração Pública Federal (ACESSO), tendo como referência os controles de acesso recomendados nas normas de segurança da informação da ABNT NBR ISO/IEC e Palavras-chave: Segurança da Informação; Controles de acesso; Norma ABNT NBR ISO/IEC 27001; Norma ABNT NBR ISO/IEC INTRODUÇÃO A segurança da informação passou a ser essencial para a sobrevivência das organizações, sejam empreendimentos comerciais, agências governamentais, ou organizações sem fins lucrativos. Surgindo, assim, a necessidade de se ter uma gestão da segurança da informação efetiva na organização, que ajude na implantação de controles que minimizem os riscos que possam ser inerentes ao negócio da organização. A gestão da segurança da informação assumiu um novo significado dentro das organizações, passando a ser vista como um problema de negócio e não apenas de tecnologia e focando na prática de gestão de risco do negócio (ZAPATER; SUZUKI, 2005). A segurança não é mais apenas relacionada à tecnologia e às ferramentas necessárias para a proteção da informação, como também está relacionada aos elementos estratégicos da organização, como a continuidade dos negócios, a redução de custos com incidentes, o aumento da competitividade e as exigências legais e regulatórias. Neste contexto, as organizações buscam por um padrão único e reconhecido de práticas de segurança de informação. Atualmente as normas ABNT NBR ISO/IEC e são utilizadas e reconhecidas como as melhores práticas para o gerenciamento da segurança da informação (TCU, 2007). Estas normas permitem maior eficácia na gestão da segurança, com uma abordagem orientada para processos. A norma ABNT NBR ISO/IEC (ABNT, 2006) especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação SGSI documentado dentro do contexto dos riscos globais de negócio da organização. Ela especifica, também, os requisitos para a implementação de controles de segurança adequado às necessidades individuais de proteção dos ativos de informação da organização. Já a norma ABNT NBR ISO/IEC (ABNT, 2007) serve como um guia prático para desenvolver os procedimentos de segurança da informação da organização. A norma prove orientação para a sua implementação, podendo ser usada quando da especificação dos controles de segurança relevantes para atender aos requisitos de segurança da organização. Portanto, o objetivo geral desse trabalho é analisar a conformidade do sistema ACESSO, tendo como referência os controles de segurança recomendados na seção controle de acessos das normas de segurança da informação da ABNT NBR ISO/IEC e 27002, visando identificar recomendações para aperfeiçoar as suas práticas de gestão de segurança da informação. 2. SEGURANÇA DA INFORMAÇÃO A norma ABNT NBR ISO/IEC (ABNT, 2006) define a segurança da informação como a preservação da confidencialidade, integridade e disponibilidade da

2 informação. Adicionalmente, outras propriedades como autenticação, não repúdio, legalidade, privacidade e auditoria da informação também podem estar relacionadas à segurança da informação (LYRA, 2008). Porém, a confidencialidade, integridade e disponibilidade da informação aparecem como os três princípios básicos da segurança da informação. Sendo estes entendidos como (ABNT, 2006): confidencialidade é a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados; integridade: a propriedade de proteger a exatidão e completeza das informações; disponibilidade é a propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. Conforme citado anteriormente, além destes três princípios básicos, há outras propriedades relacionadas à segurança da informação, que são: autenticação: confirmação de que o usuário é de fato quem ele diz ser; não repúdio: capacidade de provar que um usuário executou uma determinada ação; legalidade: garantir que o sistema esteja aderente à legislação pertinente; privacidade: capacidade de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações; auditoria: capacidade de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque. Apesar de todos os aspectos citados acima serem importantes para a segurança da informação, dependendo do tipo da organização, alguns são mais importantes do que outras. Por este motivo, quando se fala em segurança da informação, refere-se a tomar ações para garantir a confidencialidade, integridade, disponibilidade e os demais aspectos da segurança das informações, de acordo com as necessidades especificas de cada organização (LYRA, 2008). Dentro da organização, a segurança deve ser aplicada a tudo aquilo que possui valor e, por este motivo, demanda proteção. São os chamados ativos. Cada organização tem seus critérios para identificar e priorizar ativos, sendo os ativos com necessidades diferentes, protegidos de formas diferentes (SILVA, 2008). É importante lembrar que o ativo de informação não é composto somente pela informação, mas por tudo aquilo que dá suporte ou se utiliza dela (LYRA, 2008). Atualmente, é evidenciado que os sistemas de informação e as redes de computadores são os mais importantes ativos para os negócios das organizações. A segurança destes ativos tornou-se essencial para garantir a competitividade e a imagem da organização no mercado Controles de Acesso A implementação de controles de segurança na organização assegurará que os riscos identificados sejam reduzidos a níveis aceitáveis pela organização. Esses controles podem ser selecionados a partir de normas de segurança da informação, como por exemplo, os das normas ABNT NBR ISO/IEC e 27002, ou a partir de controles definidos pela organização para atender às suas necessidades especificas. Dentre os controles de segurança, considerados essenciais para o desenvolvimento dos procedimentos operacionais de segurança da informação de forma efetiva na organização, destaca-se o controle de acesso. Os controles de acesso, físicos ou lógicos, têm como objetivo proteger os recursos computacionais contra perdas, danos, modificações ou divulgação não autorizada. Os controles de acesso são um conjunto de procedimentos e medidas com a finalidade de gerenciar como os usuários e os sistemas se comunicam e interagem com outros sistemas e recursos. Ele protege os sistemas e recursos de acesso não autorizado e podem ser elementos de determinação do nível de autorização após um procedimento de autenticação concluído com êxito (HARRIS, 2005). O controle de acesso é composto pelos seguintes processos (BRASIL, 2007): autorização: define quem pode ter acesso, sob quais condições e o que pode ser realizado; identificação: é o nome pelo qual o usuário é conhecido ou se apresenta para o sistema, e essa identificação do usuário deve ser única. autenticação: é a confirmação de identidade do usuário, isto é, o sistema confirma se o usuário é ele mesmo; acesso controlado: define que todo acesso deve ser feito via sistema de controle de acesso, não permitindo um caminho alternativo; contabilização: relaciona um usuário ou um processo a um conjunto de ações, através do registro de transações, também chamado de log; auditoria: permite, a partir de log, a reconstrução de eventos ou processos, sendo fundamental na identificação de tentativas de violação Norma ABNT NBR ISO/IEC A norma ABNT NBR ISO/IEC Código de Prática para a Gestão de Segurança da Informação (ABNT, 2007), fornece recomendações para a gestão da segurança da informação e tem o objetivo de estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. A norma serve como um guia prático para o desenvolvimento de normas de segurança da informação e de práticas eficientes de gestão da segurança para a organização.

3 A parte principal da norma se encontra estruturada em 11 seções de controles de segurança da informação, ou como também são conhecidas as seções, em 11 domínios de segurança. Cada uma das seções é constituída por categorias principais de segurança da informação, sendo que cada categoria contém um objetivo de controle que define o que deve ser alcançado e um ou mais controles de segurança que podem ser aplicados para se alcançar o objetivo do controle. Os objetivos definidos na norma proveem das diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. No total a norma é composta de 11 domínios de segurança, 39 objetivos de controle e 133 controles de segurança. O diagrama da Figura 1 mostra todos os domínios da norma ABNT NBR ISO/IEC e 27002, com destaque para o domínio controle de acessos, que é o foco deste estudo. O Quadro 1 apresenta uma síntese do domínio Controle de Acessos. Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física e do Ambiente Figura 1 Domínios de Segurança da ABNT NBR ISO/IEC e Quadro 1 - Categorias da seção Controle de Acessos. Controle de Acessos Categorias Objetivos de Controle Requisitos de negócio para controle de Controlar o acesso à informação acesso Gerenciamento de a- cesso do usuário Responsabilidades dos usuários Controle de acesso à rede Controle de acesso ao sistema operacional Controle de aces-so à aplicação e à informação Computação móvel e trabalho remoto Domínios de Segurança ABNT NBR ISO e Gerenciamento das Operações e Comunicações Aquisição, desenvolvimento e manutenção de sistemas Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Conformidade Controle de Acessos Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação. Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação. Prevenir acesso não autorizado aos serviços de rede. Prevenir acesso não autorizado aos sistemas operacionais. Prevenir acesso não autorizado à informação contida nos sistemas de aplicação. Garantir a segurança da informação quando se utilizam a computação móvel e recursos de trabalho remoto Norma ABNT NBR ISO/IEC A norma ABNT NBR ISO/IEC (ABNT, 2006) tem como objetivo especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). O SGSI é desenhado para assegurar a seleção de controles de segurança adequados e proporcionais às necessidades da organização. Controles estes que protegem os ativos de informação da organização e dão confiança às partes interessadas. Essa norma promove a adoção de uma abordagem de processo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização. A ABNT NBR ISO/IEC adota o modelo denominado PDCA (Plan, Do, Ckeck, Act) para estruturar todos os processos envolvidos em um SGSI. A Figura 2 mostra como os processos de um SGSI são estruturados com a aplicação do modelo PDCA. Figura 2 Modelo PDCA aplicado aos processos de um SGSI (ABNT, 2006). 3. METODOLOGIA DA PESQUISA A metodologia utilizada para esta pesquisa permite classificá-la como sendo um estudo de caso, documental e bibliográfica, aplicado de forma qualitativa e quantitativa (MORESI, 2012). A abordagem qualitativa refere-se à pesquisa documental realizada em órgão da Administração Pública Federal. Por medida de segurança, o nome do órgão foi omitido nesse trabalho. A quantitativa refere-se ao instrumento de pesquisa criado para verificar a conformidade do sistema ACESSO às normas ABNT NBR ISO/IEC e A coleta de dados para a análise de conformidade do sistema ACESSO foi realizada com a ajuda de um questionário, cujas questões estão relacionadas aos controles de segurança recomendados na seção A.11 (Controle de Acessos) da tabela A.1 (Objetivos de controle e controles) do Anexo A da norma ABNT NBR ISO/IEC 27001, que são derivados diretamente e estão alinhados com aqueles listados na seção 11 da norma ABNT NBR ISO/IEC Para cada controle de segurança da norma foram incluídas quatro opções de resposta:

4 - aderente significa que o ACESSO está aderente ao controle recomendado na norma; - parcialmente aderente significa que o ACESSO está parcialmente aderente ao controle recomendado na norma; - não aderente significa que o ACESSO não está aderente ao controle recomendado na norma; - não se aplica significa que o controle não se aplica ao escopo da análise do ACESSO. Observando que foi deixado um espaço no questionário, para que seja possível justificar a resposta, quando esta for Parcialmente aderente ou Não aderente. Os controles de segurança e as questões do questionário foram agrupados nas 7 categorias de segurança da informação da seção controle de acessos da norma ABNT NBR ISO/IEC 27002, permitindo a verificação do grau de conformidade do sistema ACESSO à norma para o domínio de segurança controle de acessos. 4. RESULTADOS DA PESQUISA Com o objetivo de disciplinar a Gestão de Segurança da Informação e Comunicações (GSIC) na Governo Federal do Brasil e dar outras providências, em 13 de junho de 2008, o GSI/PR, no uso de suas atribuições, aprovou e publicou a Instrução normativa Nº 01 (BRASIL, 2008). O órgão da Administração Pública Federal foi um dos órgãos pioneiros a implantar ações para o aculturamento em Segurança da Informação e Comunicações (SIC), com sua Política de Segurança (BRASIL, 2010), a criação de um Comitê de Segurança da Informação e Comunicações (CSIC) e definição de uma Equipe de Tratamento de Incidentes em Redes Computacionais (ETIR) O sistema de controle de acessos às aplicações do MP O órgão mantém um conjunto de aproximadamente sessenta sistemas departamentais antigos, desenvolvidos em plataformas, linguagens e bancos de dados variados. Alguns destes sistemas eram dotados de boas práticas de segurança e outros tinham a segurança bastante falha, sem qualquer padronização. Características que dificultavam o trabalho de tornar mais seguro os seus ambientes de produção. Vários destes sistemas possuíam seu próprio controle de acesso, o que dificultava a gerência centralizada de informações corporativas dos usuários de seus sistemas e a implantação de melhores técnicas de controle de segurança de acesso. Os projetos de desenvolvimento de novos sistemas departamentais ou os projetos de modernização dos sistemas departamentais são priorizados pelo Comitê Estratégico de TI. Alguns destes sistemas já foram modernizados e necessitaram da implementação de controles de segurança de acesso para a execução de suas funcionalidades, onde somente usuários autorizados pudessem acessá-los e estes possuíssem um conjunto de perfis para restringir o acesso dos usuários a determinadas funcionalidades. Com base neste cenário, foi desenvolvido no ano de 2008 o Sistema de Controle de Acesso às Aplicações do órgão (ACESSO), um sistema único de controle de acesso lógico aos sistemas do órgão, que permite centralizar a administração de segurança e facilitar o processo de implantação de políticas de segurança em suas aplicações, fazendo parte também deste escopo do ACESSO a centralização de informações dos usuários e da estrutura organizacional com seus órgãos, unidades e departamentos. O sistema ACESSO é uma aplicação que tem como finalidade tornar único o controle de acesso, centralizar a administração de permissões e facilitar o processo de implantação de políticas de segurança nas aplicações do órgão Análise da conformidade do sistema ACESSO Nesta seção são apresentados os resultados da análise da conformidade do sistema ACESSO, tendo como referência os controles de segurança recomendados na seção controle de acessos das normas de segurança da informação da ABNT NBR ISO/IEC e Pressupõe-se que essa análise confirmará que o sistema ACESSO, seus objetivos, funcionalidade e regras de negócio satisfazem à maioria dos controles de segurança, referentes a controle de acessos, recomendados nas normas de segurança ABNT NBR ISO/IEC e A análise da conformidade foi realizada utilizando-se questionário, cujas questões estão relacionadas aos controles de segurança recomendados na seção A.11 (Controle de Acessos) da norma ABNT NBR ISO/IEC (ABNT, 2006). Os respondentes foram o Gestor Usuário, o Analista de Negocio Responsável e o Líder do Desenvolvimento do sistema ACESSO. A análise das respostas de acordo com a escala Aderente, Parcialmente Aderente e Não aderente permitirá a identificação da conformidade do sistema ACESSO com relação a cada um dos controles de segurança, referentes a controle de acessos, recomendados nas normas ABNT NBR ISO/IEC e Com base no resultado da análise são relacionados os controles de segurança implementados no sistema ACESSO que estão em conformidade e em nãoconformidade com os controles de segurança recomendados na seção controle de acessos das normas ABNT NBR ISO/IEC e 27002, além dos controles de segurança recomendados pelas

5 normas que não foram implementados no sistema ACESSO. O Quadro 2 apresenta uma síntese das respostas, definidas em comum acordo entre os entrevistados, em relação ao grau de aderência identificado no sistema ACESSO para cada um dos respectivos controles de segurança. O grau de aderência foi identificado de acordo com a escala Aderente (A), Parcialmente Aderente (P), Não aderente (N) e Não se Aplica (NA) Recomendações Com base nos resultados da análise da conformidade do sistema ACESSO e tendo como referência os controles de segurança recomendados nas normas em questão, são apresentadas algumas recomendações para a melhoria dos controles de segurança identificados como parcialmente aderentes e não aderentes. Seguem as recomendações agrupadas por controle de segurança: - Política de Controle de Acesso sugere-se que seja estabelecida uma política específica para o controle de acesso, tendo como base os requisitos de acesso dos negócios e a segurança da informação da organização, e que as regras de controle de acesso e direitos estejam expressas claramente. É importante fornecer aos usuários e provedores de serviços uma declaração nítida dos requisitos do negócio a serem atendidos pelos controles de acessos; - Uso de senhas sugere-se que os usuários estejam conscientes de suas responsabilidades para manter efetivo controle de acesso no sistema ACESSO, particularmente em relação ao uso de senhas e de segurança dos equipamentos de usuários. É importante que todos os usuários do sistema ACESSO sejam orientados a manter a confidencialidade das senhas, evitar manter as senhas anotadas e alterar a senha sempre; - Restrição de acesso à informação sugere-se que o acesso à informação e às funções do sistema ACESSO seja restrito de acordo com o definido na política de controle de acesso; - Computação e comunicação móvel sugere-se que seja estabelecida uma política formal na organização e adotadas medidas de segurança para a proteção dos sistemas contra os riscos do uso de recursos de computação e comunicação móveis. É importante que seja providenciado treinamento para os usuários do sistema ACESSO, que fazem uso de computação móvel para acessá-lo, visando aumentar o nível de conscientização a respeito dos riscos adicionais resultantes desta forma de acesso; - Análise crítica dos direitos de acesso de usuário sugere-se que o gestor do sistema ACESSO analise em intervalos regulares os direitos de acesso, autorizações para o direito e as concessões de privilégios dos usuários, para manter o controle efetivo sobre os acessos aos dados do sistema; - Desconexão de terminal por inatividade sugere-se que o sistema ACESSO implemente uma regra para encerramento das seções do aplicativo após um período definido de inatividade. Sendo solicitada ao usuário uma nova autenticação após esse período de inatividade; - Limitação de horário de conexão sugere-se que sejam implementadas regras no sistema ACESSO para restrições nos horários de conexão. A limitação de conexão reduz a janela de oportunidade para acessos não autorizados, além de inibir os usuários a manter seções abertas, para evitar reautenticação. Categorias 1. Requisitos de negócio para controle de acesso 2. Gerenciamento de acesso do usuário 3. Responsabilida des dos usuários 4. Controle de acesso à rede 5. Controle de acesso ao sistema operacional 6. Controle de a- cesso à aplicação e à informação 7. Computação móvel e trabalho remoto Quadro 2 Respostas da Entrevista Controles de Segurança Política de Controle de Acesso Registro de usuário Gerenciamento de privilégios Gerenciamento de senha do usuário Análise crítica dos direitos de acesso de usuário Uso de senhas Equipamento de usuários sem monitoração Política de mesa limpa e tela limpa Política de uso dos serviços Autenticação para conexão externa do usuário Identificação de equipamento em redes Proteção e configuração de portas de diagnóstico remotas Segregação de redes Controle de conexão de rede Controle de roteamento de redes Procedimentos seguros de entrada no sistema (log-on) Identificação e autenticação de usuários Sistema de gerenciamento de senha Uso de utilitários de sistema Desconexão de terminal por inatividade Limitação de horário de conexão Restrição de acesso à informação Isolamento de sistemas sensíveis Computação e comunicação móvel Trabalho remoto Grau de Aderência A P N NA

6 5. CONCLUSÃO A segurança da informação passou a ser essencial para a sobrevivência das organizações. Porém, a implantação de segurança da informação em uma organização não é uma tarefa simples e imediata. Depende da vontade dos seus dirigentes e de um conjunto de ações coordenadas, constantes e gradativas, além de orçamento, tecnologia e o mais importante, de pessoas conscientizadas. É necessário ter uma gestão da segurança da informação efetiva na organização, que ajude na implantação de controles que minimizem os riscos que possam ser inerentes ao seu negócio. Atualmente as normas ABNT NBR ISO/IEC e são utilizadas e reconhecidas como as melhores práticas para o gerenciamento da segurança da informação. Nessa pesquisa foi realizada a análise da conformidade dos controles de segurança do sistema ACESSO, tendo como referência os controles de segurança da seção controle de acessos das normas de segurança da informação da ABNT NBR ISO/IEC e Na análise dos resultados obtidos neste trabalho, foi possível identificar que 53% dos controles de segurança do sistema ACESSO são aderentes, 27% são parcialmente aderentes e 20% não são aderentes aos controles de segurança, conforme recomendado nas normas ABNT NBR ISO/IEC e Cabe ressaltar que o percentual foi obtido levando-se em consideração apenas os controles de segurança recomendados nas normas e que são aplicáveis ao sistema ACESSO. HARRIS, Shon. CISSP All-in-One Exam Guide, 3rd Edition. McGraw-Hill LYRA, M. R. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Editora Ciência Moderna Ltda., MORESI, E. A. D. Notas de aula. Curso Especialização em Governo Eletrônico. Escola de Administração Fazendária, Brasília, BRASIL. SERPRO. Regras de formação de senhas para usuários de sistemas e serviços disponibilizados pela SUPTI - SUPTI/TISEG. Versão 1.2. Brasília, SILVA, E. C. Auditoria em Sistemas de Informação e a aplicação da Norma ISO 27002:2005. Porto Alegre, TCU. Secretaria-Geral de Controle Externo. Secretaria de Fiscalização de tecnologia da Informação. Boas Práticas em Segurança da Informação. 2 ed. Brasília, ZAPATER, M.; SUZUKI, R. Segurança da Informação - Um diferencial determinante na competitividade das corporações. Rio de Janeiro: Grupo PROMON, Em prosseguimento a essa pesquisa sugere-se realizar uma análise de aderência do Sistema ACESSO aos demais domínios da norma ABNT NBR ISO/IEC AGRADECIMENTOS Esse trabalho é financiado pelo Serviço Federal de Processamento de Dados (SERPRO), sendo executado na Escola de Administração Fazendária (ESAF). REFERÊNCIAS BIBLIOGRÁFICAS ABNT. Código de Prática para a Gestão da Segurança da Informação. NBR ISO/IEC Rio de Janeiro, ABNT. Sistema de Gestão da Segurança da Informação. NBR ISO/IEC Rio de Janeiro, BRASIL. Decreto n , de 13 de junho de Conselho Nacional de Defesa. Secretaria Executiva. Instrução Normativa GSI nº 1, DE 13 de junho de 2008.

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações A importância da Alta Administração na Segurança da Informação e Comunicações Agenda O Problema; Legislação; Quem somos; O que fazer. O problema A informação: é crucial para APF é acessada por pessoas

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC MINISTÉRIO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO GABINETE DO MINISTRO PORTARIA Nº 795, DE 5 DE SETEMBRO DE 2012 O MINISTRO DE ESTADO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO, no uso de suas atribuições

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011

PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011 CENTRO DA QUALIDADE, SEGURANÇA E PRODUTIVIDADE PARA O BRASIL E AMÉRICA LATINA PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011 Diretrizes para auditorias de sistemas de gestão da qualidade e/ou ambiental

Leia mais

Segurança da Informação: Conceitos e Modelo de Gestão

Segurança da Informação: Conceitos e Modelo de Gestão : Conceitos e Modelo de Gestão Sérgio Marinho Novembro.2004 Direitos Reservados. Proibida Reprodução. Copyright 2004 Segurança da Informação - 1 Sistemas de Gestão - Evolução Sistema de Gestão da Qualidade

Leia mais

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 Governança de TI: O desafio atual da Administração Pública André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 André Luiz Furtado Pacheco, CISA Graduado em Processamento de

Leia mais

Conheça a NBR ISO/IEC 27002

Conheça a NBR ISO/IEC 27002 Conheça a NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar,

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

Política de Segurança da Informação e Comunicações (POSIC) milson.henriques@saude.gov.br Coordenador Geral de Infraestrutura - Datasus

Política de Segurança da Informação e Comunicações (POSIC) milson.henriques@saude.gov.br Coordenador Geral de Infraestrutura - Datasus Política de Segurança da Informação e Comunicações (POSIC) milson.henriques@saude.gov.br Coordenador Geral de Infraestrutura - Datasus Conceitos A dade DICA D I C ntegridade A isponibilidade Significa

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 ISO: Organização de Padronização Internacional: ISO 9001 e 14001; IEC: Comissão Eletrotécnica Internacional: IEC 60950-1 (ITE:

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança?

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança? TESTE Sua empresa está em conformidade com a ISO 27002? O objetivo do teste tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações de Segurança

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 12/06/2014 13:58:56 Endereço IP: 200.252.42.196 1. Liderança da alta administração 1.1. Com

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Superior Tribunal de Justiça

Superior Tribunal de Justiça Superior Tribunal de Justiça RESOLUÇÃO STJ/GP N. 11 DE 12 DE NOVEMBRO DE 2015. Institui a política de segurança da informação do Superior Tribunal de Justiça e dá outras providências. O PRESIDENTE DO SUPERIOR

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 06/06/2014 18:22:39 Endereço IP: 189.9.1.20 1. Liderança da alta administração 1.1. Com relação

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas comunicações Responsabilidades e procedimentos operacionais Assegurar que as informações

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 08/08/2014 19:53:40 Endereço IP: 150.164.72.183 1. Liderança da alta administração 1.1. Com

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Projeto Integrador Módulo IV Política de Segurança Disciplinas: - Implantação e Gestão de S.I.: Prof. Diego Américo Guedes - Gerência de Redes de Computadores: Prof. Fernando Pirkel Tsukahara - Segurança

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

Uso Exclusivo em Treinamento

Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br ABNT NBR ISO 9001:2008 Uso Exclusivo em Treinamento SUMÁRIO 0. Introdução 2 0.1 Generalidades 2 0.2 Abordagem de processo 3 0.3 Relação com a norma NBR ISO 9004 5 0.4

Leia mais

INSTRUÇÃO NORMATIVA Nº 80, DE 26 DE NOVEMBRO DE 2014.

INSTRUÇÃO NORMATIVA Nº 80, DE 26 DE NOVEMBRO DE 2014. INSTRUÇÃO NORMATIVA Nº 80, DE 26 DE NOVEMBRO DE 2014. Institui a Política de Segurança da Informação e Comunicações - PoSIC no âmbito da Agência Nacional de Aviação Civil - ANAC. A DIRETORIA DA AGÊNCIA

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS P á g i n a 1 / 13 MINISTÉRIO DA EDUCAÇÃO FUNDAÇÃO UNIVERSIDADE FEDERAL DA GRANDE DOURADOS COORDENADORIA DE DESENVOLVIMENTO DE TECNOLOGIA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos DEZ 2005 Projeto 21:204.01-012 ABNT Associação Brasileira de Normas Técnicas Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos Sede: Rio de Janeiro

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO 27001 e 27002) Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 Licença de

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de Sistemas de Gestão, a Fundação Vanzolini vem catalogando

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

PR 29/07/2013. Instrução Normativa Nº 24/2013

PR 29/07/2013. Instrução Normativa Nº 24/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PR 29/07/2013 Instrução Normativa Nº 24/2013 Assunto: Institui a Política

Leia mais

Prof. Adilson Spim Gestão da Qualidade ISO 9001:2008 1

Prof. Adilson Spim Gestão da Qualidade ISO 9001:2008 1 Certificação NBR Requisitos A partir da versão 1994, a série ISO 9000 passou a ser conhecida como família ISO 9000 ; leva em conta duas situações, a contratual e não contratual; Para a situação não contratual

Leia mais

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Versão 1.0 neutronica.com.br 2016 Sumário PARTE I... 5 I. Introdução... 5 II. Melhores Práticas de Governança... 6 III. Melhores Práticas de Entrega de Serviços...

Leia mais

Tradução livre Uso Exclusivo em Treinamento

Tradução livre Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br N786-1 ISO CD 9001 Tradução livre Uso Exclusivo em Treinamento N786-1 ISO CD 9001 para treinamento - Rev0 SUMÁRIO Página Introdução 4 0.1 Generalidades 4 0.2 Abordagem

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 Proposta de Política de Segurança da Informação e Comunicações da Anatel O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES,

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

ISO 14000. ISO 14000 Edição Junho / 2006 - Rev.0 C-1

ISO 14000. ISO 14000 Edição Junho / 2006 - Rev.0 C-1 MÓDULO C REQUISITOS DA NORMA AMBIENTAL ISO 14001 ISO 14000 Edição Junho / 2006 - Rev.0 C-1 REQUISITOS DA NORMA AMBIENTAL ISO 14001/04 Sumário A.) A Organização ISO...3 B.) Considerações sobre a elaboração

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação Ministério da Saúde Departamento de Informática do SUS DATASUS Segurança da Informação e Comunicação Conceitos : Disponibilidade Segurança da Informação Significa estar acessível e utilizável quando demandado

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSI/PR 01 15/FEV/13 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 13/06/2014 14:08:02 Endereço IP: 177.1.81.29 1. Liderança da alta administração 1.1. Com

Leia mais

Auditoria Interna na Área de Tecnologia da Informação

Auditoria Interna na Área de Tecnologia da Informação Auditoria Interna na Área de Tecnologia da Informação André Luiz Furtado Pacheco, CISA 4º Workshop de Auditoria de TI da Caixa Brasília, agosto de 2011 Agenda Introdução Exemplos de Deliberações pelo TCU

Leia mais

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001 Fundamentos em Segurança de Redes de Computadores 1 É a norma de certificação para SGSI ( Sistemas de Gestão da Segurança da Informação), editada em português em abril de 2006 e que substituiu a BS 7799-2.

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

SISTEMA DE GESTÃO DA QUALIDADE MQ 01 Rev. 07 MANUAL DA QUALIDADE

SISTEMA DE GESTÃO DA QUALIDADE MQ 01 Rev. 07 MANUAL DA QUALIDADE Rev. Data. Modificações 01 14/09/2007 Manual Inicial 02 12/06/2009 Revisão Geral do Sistema de Gestão da Qualidade 03 22/10/2009 Inclusão de documento de referência no item 8. Satisfação de cliente, Alteração

Leia mais

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES V CONGRESSO BRASILEIRO DE METROLOGIA Metrologia para a competitividade em áreas estratégicas 9 a 13 de novembro de 2009. Salvador, Bahia Brasil. ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO

Leia mais

Sistemas de gestão da qualidade - Requisitos

Sistemas de gestão da qualidade - Requisitos DEZ 2000 NBR ISO 9001 Sistemas de gestão da qualidade - Requisitos ABNT Associação Brasileira de Normas Técnicas Sede: Rio de Janeiro Av. Treze de Maio, 13 28º andar CEP 20003-900 Caixa Postal 1680 Rio

Leia mais

Prof. José Maurício S. Pinheiro - UGB - 2009

Prof. José Maurício S. Pinheiro - UGB - 2009 Auditoria e Análise de Segurança da Informação Segurança Física e Lógica Prof. José Maurício S. Pinheiro - UGB - 2009 Segurança Física e Segurança Lógica da Informação 2 Segurança Física A segurança física

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

Edição Especial Nº 2 - Maio

Edição Especial Nº 2 - Maio Edição Especial Nº 2 - Maio 2012 Presidência da CAPES Portaria Nº 066, de 16 de Maio de 2012 Aprova a Política de Segurança da Informação e Comunicações da Coordenação de Aperfeiçoamento de Pessoal de

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais