Segurança da Informação: Conceitos e Modelo de Gestão

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamanho: px
Começar a partir da página:

Download "Segurança da Informação: Conceitos e Modelo de Gestão"

Transcrição

1 : Conceitos e Modelo de Gestão Sérgio Marinho Novembro.2004 Direitos Reservados. Proibida Reprodução. Copyright 2004 Segurança da Informação - 1

2 Sistemas de Gestão - Evolução Sistema de Gestão da Qualidade (ISO( Série ) Sistema de Gestão Ambiental (ISO( Série ) Sistema de Gestão da Segurança e Saúde Ocupacional (OHSAS( ) e agora... SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (BS ) Segurança da Informação - 2

3 SEGURANÇA DA INFORMAÇÃO: Conceitos Segurança da Informação - 3

4 Conceitos O único sistema verdadeiramente seguro é aquele que está desligado, desplugado, trancado num cofre de titanium, lacrado, enterrado em um bunker de concreto, envolto por gás nervoso e vigiado por guardas armados muito bem pagos. Mesmo assim, eu não apostaria minha vida nisso. Gene Spafford Diretor de Operações de Computador, Auditoria e Tecnologia da Segurança Purdue University, França Segurança da Informação - 4

5 Conceitos Segurança da Informação: É a preservação da Confidencialidade, Integridade e Disponibilidade da informação, Onde: Confidencialidade: é a garantia de que a informação seja acessível apenas às pessoas autorizadas; Integridade: é a proteção da exatidão e completeza da informação e dos métodos de processamento; Disponibilidade: é a garantia de que as pessoas autorizadas tenham acesso às informações, bem como aos bens associados, quando requeridos. Segurança da Informação - 5

6 Conceitos Qual informação deve ser protegida? A Informação que está: Armazenada em computadores; Transmitida através de rede; Impressa ou escrita em papel; Enviada através de fax; Armazenada em fitas ou disco. A Informação que é: Falada em conversas ao telefone; Enviada por ; e Armazenada em banco de dados; Mantida em filmes e microfilmes; Apresentada em projetores; Segurança da Informação - 6

7 Conceitos Proteger a informação de que? Espionagem industrial; Fraude; Arrombamento; Gravação de comunicação; Escuta telefônica; Acesso acidental; Empregado desleal; Crime organizado; Hacker de computador; etc Ameaças Segurança da Informação - 7

8 Conceitos AMEAÇA Uma causa potencial de um incidente indesejável com um ativo ou grupo de ativos de informação que pode resultar em danos para a organização. Ex: Inundação, Roubo, Erro de Usuário, Falha de Hardware. VULNERABILIDADE Uma fraqueza de um ativo ou grupo de ativos de informação que pode ser explorada por uma AMEAÇA. Ex: Data Center ao lado de um rio, Portas destrancadas, Alocação errada de direitos de senha, Falta de manutenção. ATIVO DE INFORMAÇÃO Todo bem da empresa que se relaciona com informação e que tenha valor para a organização. Ex: Hardware, Software, Sistema, Documentação. RISCO É a medida do nível de incerteza associado à probabilidade de ocorrência de um evento e suas conseqüências. Risco = Probabilidade X Impacto Segurança da Informação - 8

9 Conceitos Sem controles Com controles Quantidade de Vulnerabilidade Tipos de Vulnerabilidades Segurança da Informação - 9

10 Conceitos Vulnerabilidades Vulnerabilidades Controles Custo dos Controles Segurança da Informação - 10

11 SEGURANÇA DA INFORMAÇÃO: Cases Segurança da Informação - 11

12 Cases CASO 1: Deutsche Bank O Banco tinha 2 escritórios rios funcionando no World Trade Center e já operava os seus sistemas quase que normalmente no dia seguinte ao atentado terrorista de 11 de Setembro Requisitos da Norma:! Cópias de Segurança a (8.4.1).! Gestão o da continuidade do negócio (11); Estes requisitos definem regras para evitar a interrupçã ção o do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Resultado: atendido Preservaçã ção: disponibilidade Segurança da Informação - 12

13 Cases CASO 2: Ministério de Defesa Britânico Em abril de 2001 um notebook do Ministério de Defesa Britânico, contendo segredos de segurança a nacional, foi deixado em um táxi t por um oficial do exército. Requisitos da Norma:! Computaçã ção o Móvel M (9.8.1) Este requisito estabelece que quando se utilizam recursos da computaçã ção o móvel, m cuidados especiais devem ser tomados, para garantir que a informaçã ção o não n o seja comprometida. A norma recomenda que seja adotada uma política formal, incluindo requisitos para proteçã ção o física, f controles de acesso, técnicas t criptográficas, cópias c de segurança a e proteçã ção o contra vírus. v Resultado:! não o atendido Comprometimento: confidencialidade Segurança da Informação - 13

14 Cases CASO 3: Ataque de vírus v na Samarco Em maio de 2000 o vírus v I love you invadiu o servidor de correio da Samarco provocando paralisaçã ção o de 1 semana dos serviços. Requisitos da Norma:! Controles contra software malicioso (8.3.1) Este requisito estabelece que sejam adotadas medidas de precauçã ção para prevenir e detectar softwares maliciosos. A norma recomenda que seja adotada uma política formal, análise crítica dos softwares, procedimento para gerenciamento, planos de contingência ncia e monitoramento constante do ambiente computacional. Resultado:! não o atendido Comprometimento: disponibilidade Segurança da Informação - 14

15 Cases CASO 4: Download de software não n o homologado pela TI Em junho de 2001 foi feito, por três s usuários de Ubu, um download, a partir da Internet, do software GATOR.EXE, provocando uma baixa de performance muito grande na rede local, após instalaçã ção o do software. Requisitos da Norma:! Aceitaçã ção o de sistemas e softwares (8.2.2)! Gerenciamento de privilégios (9.2.2) Estes requisitos estabelecem que sejam adotadas medidas preventivas vas para se evitar instalaçã ção o e uso de softwares não n o homologados pela organizaçã ção. A norma recomenda que seja adotada uma política formal de acesso à rede bem como às s suas aplicaçõ ções e recursos. Resultado:! não o atendido Comprometimento: disponibilidade Segurança da Informação - 15

16 Melhores Práticas de SI: ISO/IEC Segurança da Informação - 16

17 Melhores Práticas ISO Objetivo: Fornecer recomendações para gestão da segurança da informação nas organizações, através da indicação das melhores práticas de SI. 2. A Segurança da Informação é obtida pela garantia da: Confidencialidade Integridade Disponibilidade Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. Garantia de que os usuários autorizados obtenham acesso á informação e aos ativos correspondentes sempre que necessário. Segurança da Informação - 17

18 Melhores Práticas ISO Política de Segurança 4. Segurança organizacional 5. Classificação e controle de ativos de informação 8. Gerenciamento das operações e comunicações 9. Controle de acesso 10. Desenvolvimento e manutenção de sistemas 6. Segurança em pessoas 7. Segurança física e do ambiente 11. Gestão da continuidade do negócio 12. Conformidade Segurança da Informação - 18

19 Melhores Práticas ISO Política de Segurança Objetivo: Prover à administração uma orientação e apoio para a segurança da informação. Convém que Alta Direção estabeleça uma Política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda organização. 3. Política de Segurança 3.1. Política de Segurança da Informação Documento da PSI Análise crítica e avaliação Segurança da Informação - 19

20 Melhores Práticas ISO Segurança Organizacional Objetivo: Gerenciar a segurança da informação na organização Convém que uma Estrutura de Gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização. 4. Segurança Organizacional 4.1. Infra-estrutura da SI 4.2. Segurança acesso prestadores de serviço Gestão do Forum de SI Identificação dos riscos de acesso Coordenação da SI Tipos de acesso Atribuição das responsabilidades Razões para o acesso Processo de autorização para as Contratados para serviços internos instalações do processamento de Requisitos de segurança nos contratos informações 4.3. Terceirização Consultoria especializada em SI Requisitos de segurança nos contratos Cooperação entre organizações Análise crítica independente da SI Segurança da Informação - 20

21 Melhores Práticas ISO Classificação e Controle de Ativos de Informação Objetivo: Manter a proteção adequada dos ativos da organização. Convém que todos os principais ativos de informação sejam inventariados e tenham um proprietário responsável. 5. Classificação e controle de ativos de informação 5.1. Contabilização dos ativos Inventário dos ativos de informação 5.2. Classificação da informação Recomendações para classificação Rótulos e tratamento da informação Segurança da Informação - 21

22 Melhores Práticas ISO Segurança em Pessoas Objetivo: Reduzir os riscos de erro humano, roubo, fraude ou uso indevido de instalações. Convém que responsabilidades de segurança sejam atribuidas na fase de recrutamento, incluidas em contratos e monitoradas durante a vigência de cada contrato de trabalho. 6. Segurança em Pessoas 6.1. Segurança na definição e nos recursos trabalho 6.3. Respondendo aos incidentes de segurança Incluindo segurança nas responsabilidades e ao mau funcionamento de SW Trabalho Notificando incidentes de segurança Seleção e política de pessoal Notificando falhas na segurança Acordos de confidencialidade Notificando mau funcionamento Termos e condições de trabalho Aprendendo com os incidentes 6.2. Treinamento dos usuários Processo disciplinar Educação e treinamento em SI Segurança da Informação - 22

23 Melhores Práticas ISO Segurança Física e do Ambiente Objetivo: Prevenir o acesso não autorizado, dano, perda e interferência às instalações físicas da organização. Convém que os recursos e instalações de processamento de informações criticas ou sensíveis do negócio sejam mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas e controle de acesso. 7. Segurança física e do ambiente 7.1. Áreas de segurança 7.2. Segurança dos equipamentos Perímetro da segurança física Instalação e proteção de eqptos Controles de entrada física Fornecimento de energia Segurança em escritórios, salas e Segurança do cabeamento instalações PD Manutenção de eqptos Trabalhando em áreas de segurança Segurança eqptos. fora das instalações Isolamento das áreas de expedição e carga Reutilização e alienação de eqptos Controles gerais Política mesa limpa / tela limpa Remoção de propriedades Segurança da Informação - 23

24 Melhores Práticas ISO Gerenciamento das Operações e Comunicações Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação. Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes. Veja detalhe dos controles a seguir Segurança da Informação - 24

25 Melhores Práticas ISO Gerenciamento das operações e comunicações 8.1. Procedimentos e responsabilidades operacionais Documentação do procedimentos operação Controle mudanças operacionais Prodecimento gerenciamento incidentes Segregação de funções Separação ambientes: desenv. e operação Gestão recursos terceirizados 8.2. Planejamento e aceitação dos sistemas Planejamento da capacidade Aceitação de sistemas 8.3. Proteção contra software malicioso Controles contra software malicioso 8.4. Housekeeping Cópias de segurança Registros de operação Registros de falhas 8.5. Gerenciamento da rede Controles da rede 8.6. Segurança e tratamento de mídias Gerenciamento de mídias removíveis Descarte de mídas Procedimento tratamento informação Segurança da documentação sistemas 8.7. Troca de informações e softwares Acordos para a troca de informações e SW Segurança de mídias em trânsito Segurança do comércio eletrônico Segurança do correio eletrônico Riscos de segurança Política de usu Segurança sistemas eletrônicos escritórios Sistemas disponíveis publicamente Outras formas troca de informação Segurança da Informação - 25

26 Melhores Práticas ISO Controle de Acesso Objetivo: Controlar o acesso à informação. Convém que o acesso à informação e processo do negócio seja controlado na base dos requisitos de segurança e do negócio. Veja detalhe dos controles a seguir Segurança da Informação - 26

27 Melhores Práticas ISO Controle de acesso 9.1. Registros do negócio para controle acesso Política de controle de acesso Requisitos do negócio e política Regras de controle de acesso 9.2. Gerenciamento de acesso do usuário Registro do usuário Gerenciamento de previlégios Gerenciamento de senha dos usuários Análise crítica dos direitos acesso usuários 9.3. Responsabilidades do usuário Uso de senhas Eqpto. de usuário sem monitoração 9.4. Controle de acesso à rede Política de utilização dos serviços de rede Rota de rede obrigatória Autenticação para conexão externa (usuário) Autenticação de nó Proteção de portas de diagnóstico remotas Segregação de redes Controle de conexão de redes Controle do roteamento de rede Segurança dos serviços de rede 9.5. Controle de acesso ao sistema operacional Identificação automática de terminal Procedimentos de entrada no sistema Identificação e autenticação de usuário Sistema de gerenciamento de senha Uso de programas utilitários Alarme de intimidação Desconexão de terminal por inatividade Limitação de tempo de conexão 9.6. Controle de acesso às aplicações Restrição de acesso à informação Isolamento de sistemas sensíveis 9.7. Monitoração do uso e acesso ao sistema Registro de eventos Monitoração do uso do sistema Procedimentos e áreas de risco Fatores de risco Registro e análise crítica eventos Sincronização dos relógios 9.8. Computação móvel e trabalho remoto Computação móvel Trabalho remoto Segurança da Informação - 27

28 Melhores Práticas ISO Desenvolvimento e Manutenção de Sistemas Objetivos: Garantir que a segurança seja parte integrando dos sistemas de informação. Convém que todos os requisitos de segurança, incluindo a necessidade de acordos de contingência, sejam, identificados na fase de levantamento de requisitos de um projeto e justificados, acordados e documentados como parte do estudo de caso de um negócio para um sistema de informação. Veja detalhe dos controles a seguir Segurança da Informação - 28

29 Melhores Práticas ISO Desenvolvimento e manutenção de sistemas Requisitos de segurança de sistemas Análise e especificação requisitos segurança Segurança nos sistemas de aplicação Validação de dados de entrada Controle do processamento interno Áreas de risco Checagens e controles Autenticação de mensagem Validação dos dados de saída Controles de criptografia Política para uso de controles de criptografia Criptografia Assinatura digitial Serviços de não repúdio Gerenciamento de chaves Proteção de chaves criptográficas Normas, procedimentos e métodos Segurança de arquivo do sistema Controle de software em produção Proteção de dados de teste do sistema Controle de acesso à biblioteca de fontes Segurança nos processos de desenvolv. e suporte Procedimentos de controle de mudanças Análise crítica das mudanças técnicas do SO Restrições nas mudanças dos pacotes SW Covert channels e cavalo de tróia Desenvolvimento terceirizado de SW Segurança da Informação - 29

30 Melhores Práticas ISO Gestão da Continuidade do Negócio Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de grandes falhas ou desastres significativos. Convém que o processo de gestão da continuidade seja implementado para reduzir, para um nivel aceitável, a interrupção causada por desastres ou falhas da segurança, através da combinação de ações de prevenção e recuperação. 11. Gestão da continuidade do negócio Aspectos na gestão de continuidade dos negócios Processo de gestão da continuidade dos negócios Continuidade do negócio e análise de impacto Documentando e implementando planos de continuidade do negócio Estrutura do plano de continuidade do negócio Testes, manutenção e reavaliação dos planos de continuidade do negócio Teste dos planos Manutenção e reavaliação dos planos Segurança da Informação - 30

31 Melhores Práticas ISO Conformidade Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança. Convém que consultoria em requisitos legais específicos seja procurada em organizações de consultoria jurídica ou profissionais liberais, adequadamente qualificados nos aspectos legais. Veja detalhe dos controles a seguir Segurança da Informação - 31

32 Melhores Práticas ISO Conformidade Conformidade com requisitos legais Identificação da legislação vigente Direitos de propriedade intelectual Direitos autorais Direitos autorais de software Salvaguarda de registros organizacionais Proteção de dados e privacidade da informação pessoal Prevenção contra uso indevido de recursos de processamento da informação Regulamentação controles de criptografia Coleta de evidências Regras para evidências Admissibilidade da evidência Qualidade e inteireza da evidência Análise crítica da política de segurança e da conformidade técnica Conformidade com a política de segurança Verificação da conformidade técnica Considerações quanto à auditorias de sistemas Controles de auditorias de sistemas Proteção das ferramentas de auditoria de sistemas. Segurança da Informação - 32

33 NORMA BS : Histórico e Aplicação Segurança da Informação - 33

34 BS Histórico e Aplicação BS 7799 Part 1 Code of Practice for Information Security Management Apresenta as melhores práticas a serem utilizadas na gestão de segurança da informação. (publicada em 1995 e atualizada em 1999) ISO/IEC Code of Practice for Information Security Management ISO/IEC JTC1/SC27/WG1 (publicada em 2000) BS 7799 BS 7799 Part 2 NBR ISO/IEC Specification for Information Security Management Systems Apresenta uma estrutura de gestão e viabiliza a realização de auditorias do sistema de gestão de Informação. (publicada em 1998 e atualizada em 2002) TI Código de Prática para a Gestão da Segurança da Informação ABNT CB-21/CE-21: Apresenta as melhores práticas a serem utilizadas na gestão de segurança da informação. (publicada em 2001) Segurança da Informação - 34

35 BS Histórico e Aplicação NBR ISO/IEC TI Código de Prática para a Gestão da Segurança da Informação ABNT CB-21/CE-21: Apresenta as melhores práticas a serem utilizadas na gestão de segurança da informação. (publicada em 2001) BS 7799 Part 2 Specification for information security management systems Apresenta uma estrutura de gestão e viabiliza a realização de auditorias do sistema de gestão de Informação. (publicada em 1998 e atualizada em 2002) HISTÓRICO DA ISO Ago 1999: Consulta do BSI aos países membros da ISO/IEC Out 1999: Formalização do Fast track procedure junto à ISO/IEC Jan 2000: ISO/IEC nomeiam o JTC1/SC27 para conduzir o processo Jul 2000: Brasil envia posição favorável ao Fast track procedure Out 2000: Tokyo heating meeting Dez 2000: A norma ISO/IEC é oficialmente publicada em Genebra Ago 2001: Brasil, através da ABNT/CB21, publica a NBR ISO IEC HISTÓRICO DA BS 7799 Mar 1993: Inglaterra Código de Prática Abr 1995: Norma Britânica BS :1995 Fev 1998: Primeira publicação BS :1998 Mai 1999: Revisão das partes 1 e 2 Consistência Set 2002: Publicação da revisão da parte 2, feita por uma equipe internacional (IUG), para alinhamento com outros Sistemas de Gestão Segurança da Informação - 35

36 REQUISITOS DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Segurança da Informação - 36

37 BS PDCA Modelo PDCA aplicado aos processos do SGSI Planejar Estabelecer o SGSI Partes Interessadas Fazer Implementar e Operar o SGSI Ciclo de Desenvolvimento, Manutenção e Melhoria Manter e Melhorar o SGSI Agir Partes Interessadas Verificar Expectativas e Requisitos do Sistema de Informação Monitorar e Revisar o SGSI Segurança da Informação Gerenciada Segurança da Informação - 37

38 BS Requisitos da Gestão de SI Estabelecer o SGSI (Plan) A organização deve: a. Definir o escopo do SGSI em função da característica do negócio, da organização, da localização, ativos e tecnologia. b. Definir uma Política de Segurança da Informação que: Inclua claramente os objetivos de segurança para toda a organização e estabeleça os princípios a serem seguidos; Considere a conformidade com a legislação e cláusulas contratuais; Esteja alinhada à estratégia organizacional e gerenciamento de riscos; Tenha o comprometimento da Alta Direção. c. Identificar os riscos dos ativos considerados no escopo do SGSI. d. Avaliar os riscos dos ativos considerando o impacto na confidencialidade, integridade e disponibilidade dos mesmos. e. Identificar e validar as opções para tratamento dos riscos. f. Selecionar os objetivos de controle e os controles para tratamento dos riscos (ISO 17799) g. Preparar uma Declaração de Aplicabilidade (Statement of Applicability) Segurança da Informação - 38

39 BS Requisitos da Gestão de SI Implantar e Operar o SGSI (Do) A organização deve: a. Formular um plano de tratamento dos riscos que identifique as ações apropriadas de gerenciamento, as responsabilidades e prioridades para gerenciamento dos riscos de segurança da informação. b. Implementar o plano de tratamento dos riscos para atender os objetivos de controles definidos. c. Implementar os controles selecionados de acordo com os objetivos de controle. d. Implementar programas de treinamento e conscientização. e. Gerenciar as operações. f. Gerenciar os recursos. g. Implementar procedimentos e outros controles para possibilitar o registro, acompanhamento e resposta no caso dos incidentes de segurança. Segurança da Informação - 39

40 BS Requisitos da Gestão de SI Monitorar e Revisar o SGSI (Check) A organização deve: a. Executar procedimentos de monitoração e outros controles para: Detectar erros dos resultados de processamentos; Identificar falhas e insucessos em função de brechas e incidentes de segurança; Gerenciar se a delegação de atividades seguras para pessoas ou as implementações da TI estão sendo realizadas de acordo com as expectativas; Determinar se as ações executadas para resolver uma falha de segurança estão de acordo com as prioridades do negócio; b. Verificar regularmente a eficiência do SGSI considerando os resultados das auditorias de segurança, incidentes, sugestões e feedback de todas as partes interessadas. c. Rever regularmente o nível de risco residual. d. Promover auditorias internas do SGSI, em intervalos regulares e planejados. e. Promover revisão do SGSI em intervalos regulares (pelo menos uma vez por ano) para assegurar que a adequação do escopo e que o processo de melhorias do sistema são identificados. f. Registrar ações e eventos que possam impactar a eficiência e performance do SGSI. Segurança da Informação - 40

41 BS Requisitos da Gestão de SI Manter e Melhorar o SGSI (Act) A organização deve: a. Implementar as melhorias identificadas para o SGSI. b. Realizar as ações corretivas e preventivas de acordo com os requisitos 7.2 e 7.3 da Norma e considerar as lições de aprendizado com as experiências de segurança de outras organizações e as internas. c. Comunicar os resultados e ações acordadas com as partes interessadas. d. Assegurar que as melhorias estão atingindo os objetivos propostos. Segurança da Informação - 41

42 BS Requisitos da Gestão de SI Controle de Documentos Documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento de documentação deve ser estabelecido para definir as ações de gerenciamento necessárias para: a. Aprovar documentos de acordo com a prioridades dos assuntos; b. Rever e atualizar os documentos necessários e re-aprová-los; c. Assegurar que as alterações e a revisão atual dos documentos são identificadas; d Controle de Registros Registros devem ser estabelecidos e mantidos para prover evidências de conformidade com os requisitos do SGSI. Eles devem ser controlados. O SGSI deve guardar qualquer requerimento legal relevante. Registros devem estar legíveis, identificados e prontamente recuperáveis. Os controles necessários para identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição dos registros devem ser documentados. Um processo de gerenciamento deve determinar a necessidade e abrangência dos registros. Segurança da Informação - 42

43 BS Requisitos da Gestão de SI 5.1 Comprometimento da Alta Direção A Alta Direção deve prover evidências de seu comprometimento com o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e evolução do SGSI: a. Estabelecendo a Política de Segurança da Informação; b. Assegurando que os planos e objetivos de segurança da informação sejam definidos; c. Estabelecendo regras e responsabilidades de segurança da informação; d. Comunicando para a organização a importância dos objetivos de segurança e a conformidade com a Política de Segurança da Informação, a observância e respeito às leis e a necessidade de melhoria contínua; e. Providenciando os recursos necessários para o desenvolvimento, implementação, operação e manutenção do SGSI; f. Definindo o nível de risco aceitável; g. Conduzindo as revisões do SGSI. Segurança da Informação - 43

44 BS Requisitos da Gestão de SI Provisão de Recursos A organização deve determinar e providenciar os recursos necessários para: a. Estabelecer, implementar, operar e manter o SGSI b. Assegurar que os procedimentos de segurança da informação suportem os requerimentos de negócio; c. Identificar leis e outros requisitos e obrigações contratuais relativas à segurança; d. Manter segurança adequada através da aplicação correta de todos os controles implementados; e. Promover revisões quando necessário e implementar apropriadamente os resultados destas revisões; f. Quando requerido, melhorar a eficiência do SGSI Treinamento, conscientização e competência A organização deve assegurar que todas as pessoas que tenham alguma responsabilidade definida no SGSI sejam competentes para executar as atividades definidas. Segurança da Informação - 44

45 BS Requisitos da Gestão de SI 6.4 Auditorias Internas do SGSI A organização deve conduzir auditorias internas do SGSI, em intervalos planejados, para determinar a situação dos objetivos de controle, controles, processos e procedimentos do SGSI. 7.1 Melhoria Contínua A organização deve continuamente melhorar a eficiência do SGSI através do uso da Política de Segurança da Informação, objetivos de segurança, resultados das auditorias, análise e monitoramento de eventos, ações corretivas e preventivas. 7.2 Ações Corretivas 7.3 Ações Preventivas Segurança da Informação - 45

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Auditores: Antônio M. D. S. Fortes Diego Protta Casati Leandro Spínola Rodrigues. [ ISO 17799 ] Checklist

Auditores: Antônio M. D. S. Fortes Diego Protta Casati Leandro Spínola Rodrigues. [ ISO 17799 ] Checklist Auditores: Antônio M. D. S. Fortes Diego Protta Casati Leandro Spínola Rodrigues [ ISO 17799 ] Checklist Checklist Padrão Seção Questão de auditoria S N 1 3 Política de segurança 1.1 3.1 Política de segurança

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança?

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança? TESTE Sua empresa está em conformidade com a ISO 27002? O objetivo do teste tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações de Segurança

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO 27001 e 27002) Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 Licença de

Leia mais

Conheça a NBR ISO/IEC 27002

Conheça a NBR ISO/IEC 27002 Conheça a NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar,

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Versão 1.0 neutronica.com.br 2016 Sumário PARTE I... 5 I. Introdução... 5 II. Melhores Práticas de Governança... 6 III. Melhores Práticas de Entrega de Serviços...

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 ISO: Organização de Padronização Internacional: ISO 9001 e 14001; IEC: Comissão Eletrotécnica Internacional: IEC 60950-1 (ITE:

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos DEZ 2005 Projeto 21:204.01-012 ABNT Associação Brasileira de Normas Técnicas Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos Sede: Rio de Janeiro

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Aula 02 ISO 27K Normas para Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 02 ISO 27K Normas para Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 02 ISO 27K Normas para Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes A invencibilidade está na defesa; a possibilidade de vitória no ataque.quem se defende mostra que sua força é

Leia mais

Projeto 21:204.01-010. Tecnologia da informação - Código de prática para a gestão da segurança da informação

Projeto 21:204.01-010. Tecnologia da informação - Código de prática para a gestão da segurança da informação ABR 2001 Projeto 21:204.01-010 ABNT Associação Brasileira de Normas Técnicas Tecnologia da informação - Código de prática para a gestão da segurança da informação Sede: Rio de Janeiro Av. Treze de Maio,

Leia mais

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC NUCLEO CONSULTORIA EM SEGURANÇA Artigo SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO BRASIL, São Paulo Novembro, 2013 V.1.0 1. RESUMO Este artigo apresenta

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Universidade Paulista

Universidade Paulista Universidade Paulista Ciência da Computação Sistemas de Informação Gestão da Qualidade Principais pontos da NBR ISO/IEC 12207 - Tecnologia da Informação Processos de ciclo de vida de software Sergio Petersen

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Revisando Qual o objetivo da norma ISO 27002? É possível uma empresa se certificar nesta norma? ABNT NBR ISO/IEC 27002 Organização

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

CHECK LIST DE AVALIAÇÃO DE FORNECEDORES Divisão:

CHECK LIST DE AVALIAÇÃO DE FORNECEDORES Divisão: 4.2.2 Manual da Qualidade Está estabelecido um Manual da Qualidade que inclui o escopo do SGQ, justificativas para exclusões, os procedimentos documentados e a descrição da interação entre os processos

Leia mais

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP Título : Política institucional de segurança da informação. Capítulo : Índice Seção : Capítulo Seção Item Descrição 3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

INSTRUÇÃO NORMATIVA Nº 3, DE 18 DE DEZEMBRO DE 2014

INSTRUÇÃO NORMATIVA Nº 3, DE 18 DE DEZEMBRO DE 2014 INSTRUÇÃO NORMATIVA Nº 3, DE 18 DE DEZEMBRO DE 2014 Institui a Política de Integração e Segurança da Informação do Sistema de Cadastro Ambiental Rural e dá outras providências. A MINISTRA DE ESTADO DO

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 5. Política de Segurança da Informação 1 Roteiro (1/1) Objetivo Documento Orientações Mínimas para o Documento Análise Crítica e Avaliações 2 Objetivo

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA ESTUDOCOMPARATIVO NBRISO13485:2004 RDC59:2000 PORTARIA686:1998 ITENSDEVERIFICAÇÃOPARAAUDITORIA 1. OBJETIVO 1.2. 1. Há algum requisito da Clausula 7 da NBR ISO 13485:2004 que foi excluída do escopo de aplicação

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

DIS ISO 9001:2015 Publicado em Maio de 2014

DIS ISO 9001:2015 Publicado em Maio de 2014 DIS ISO 9001:2015 Publicado em Maio de 2014 Abordagem de Processos Risk-based thinking (Pensamento baseado em Risco) Anexo SL (Estrutura de Alto Nível) Anexo SL (Estrutura de Alto Nível) 1 - Escopo 2 -

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Política de segurança da INFORMAÇÃO

Política de segurança da INFORMAÇÃO Política de segurança da INFORMAÇÃO 1 - VISÃO GERAL Esse documento apoia o SGSI e se aplica a todos os empregados, estagiários e terceiros que utilizam as informações da Montreal de forma a atender: As

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

Uso Exclusivo em Treinamento

Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br ABNT NBR ISO 9001:2008 Uso Exclusivo em Treinamento SUMÁRIO 0. Introdução 2 0.1 Generalidades 2 0.2 Abordagem de processo 3 0.3 Relação com a norma NBR ISO 9004 5 0.4

Leia mais

Implantação de um Sistema de Gestão de Segurança da Informação na UFG

Implantação de um Sistema de Gestão de Segurança da Informação na UFG Universidade Federal de Goiás Implantação de um Sistema de Gestão de Segurança da Informação na UFG Jánison Calixto Hugo A. D. Nascimento CERCOMP - UFG Cronogram a Introdução Conceito de SGSI Política

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Classificação das Informações 5/5/2015 Confidencial [ ] Uso Interno [ X ] Uso Público ÍNDICE 1 OBJETIVO... 3 2 ABRANGÊNCIA... 3 3 CONCEITOS... 3 4 ESTRUTURA NORMATIVA...

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Aspectos Jurídicos no Uso de Dispositivos Pessoais no Ambiente Corporativo. Dra. CRISTINA SLEIMAN. Dra. Cristina Sleiman Diretora Executiva

Aspectos Jurídicos no Uso de Dispositivos Pessoais no Ambiente Corporativo. Dra. CRISTINA SLEIMAN. Dra. Cristina Sleiman Diretora Executiva Comissão de Direito eletrônico E Crimes de Alta Tecnologia Aspectos Jurídicos no Uso de Dispositivos Pessoais no Ambiente Corporativo Dra. CRISTINA SLEIMAN Dra. Cristina Sleiman Diretora Executiva SP,

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012

Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012 Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012 Institui a Política de Segurança da Informação da Câmara dos Deputados e dá outras providências. A MESA DA CÂMARA DOS DEPUTADOS, no uso de suas atribuições regimentais,

Leia mais

FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO

FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO RAFAEL D. RIBEIRO, M.SC,PMP. RAFAELDIASRIBEIRO@GMAIL.COM HTTP://WWW.RAFAELDIASRIBEIRO.COM.BR @ribeirord A segurança da informação protege a informação de diversos

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Segurança da Informação BM&FBOVESPA Última revisão: maio de 2014 Uso interno Índice 1. OBJETIVO... 3 2. ABRANGÊNCIA... 3 3. CONCEITOS... 3 4. ESTRUTURA NORMATIVA... 3 5. DIRETRIZES... 4 6. RESPONSABILIDADES...

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DEFENDA BUSINESS PROTECTION SERVICES & SOLUTIONS Direitos Autorais Este documento contém informações de propriedade da Defenda Business Protection Services & Solutions.

Leia mais

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799 Fundamentos em Segurança de Redes de Computadores 1 Objetivos Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma

Leia mais

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL MARÇO, 2015 ÍNDICE OBJETIVO 3 ESCOPO 3 DEFINIÇÕES Risco Inerente 4 DEFINIÇÕES Risco Operacional 4 DEFINIÇÕES Evento de Risco Operacional 4 FUNÇÕES E RESPONSABILIDADES

Leia mais

INTERNACIONAL 17799. Tecnologia da Informação Código de Prática para Gestão da Segurança de Informações. Número de referência ISO/IEC 17799:2000 (E)

INTERNACIONAL 17799. Tecnologia da Informação Código de Prática para Gestão da Segurança de Informações. Número de referência ISO/IEC 17799:2000 (E) PADRÃO ISO/IEC INTERNACIONAL 17799 Tecnologia da Informação Código de Prática para Gestão da Segurança de Informações Número de referência ISO/IEC 17799:2000 (E) Índice PREFÁCIO... V INTRODUÇÃO... VI

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Tecnologia da Informação Técnicas de Segurança Sistemas de gestão da segurança da informação - Requisitos

Tecnologia da Informação Técnicas de Segurança Sistemas de gestão da segurança da informação - Requisitos PROJETO ABNT NBR ISO/IEC 27001 Tecnologia da Informação Técnicas de Segurança Sistemas de gestão da segurança da informação - Requisitos APRESENTAÇÃO 1) Este Projeto de Revisão foi elaborado pela Comissão

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

Saada Chequer Fernandez

Saada Chequer Fernandez Saada Chequer Fernandez Analista de Gestão em Saúde Coordenação da Qualidade CIQ/Direh/FIOCRUZ Gerenciamento da Qualidade em Laboratório de Anatomia Patológica VI Congresso Regional de Histotecnologia

Leia mais