Controles Físicos e Lógicos na Segurança da Informação – Mapa Mental
Transcrição do Mapa Mental sobre: Controles físicos e lógicos
SEGURANÇA DA INFORMAÇÃO
Para se montar um sistema de segurança existem os controles físicos e lógicos que são as barreiras para evitar os ataques.
Controles físicos
São barreiras que limitam o acesso de pessoas fisicamente a informação.
Ex: Guardas e portas.
Continue lendo…
Controles lógicos
São barreiras que impedem ou limitam o acesso à informação direto na máquina, onde poderia ser acessado online ou por pessoas que não autorizada que chegaram até a fonte da informação.
Ex.: Criptografia e sistemas biométricos.
Mapa Mental ISO 27002: Segurança da Informação e Gestão de Riscos
Transcrição do Mapa Mental sobre: ISO 27002
Informação e segurança
Dados
Informações, valor da informação
Ameaças e riscos
Ameaça
Fatores / situações que podem levar a um dano ou perda de informação
Ex.: vírus
Continue lendo…
Risco
É a chance que uma ameaça irá de fato ocorrer e suas consequências
Vulnerabilidade
Ponto fraco, fraqueza
FRAQUEZA
Abordagem e organização
Classificação da informação
Papéis na organização
Medidas
Físicas
Técnicas (segurança de TI)
Organizacionais
Legislação e regulamentação
ISO 27002:2005
Conformidade e leis (Sarbane Oxley)
A PRÁTICA leva a perfeição
ISO/IEC 27002:2005 – Mapa Mental de Controles e Objetivos de Segurança da Informação
Transcrição do Mapa Mental sobre: ISO/IEC 27002:2005 Objetivos de Controle e Controles
A.5 Política de segurança da informação
A.5.1 Revisão da política de segurança da informação
A.5.1.1 Documento da política de segurança da informação
A.5.2 Análise crítica da política de segurança da informação
A.5.3 Divulgação da política de segurança da informação
A.6 Organizando a segurança da informação
A.6.1 Infraestrutura de segurança da informação
Continue lendo…
A.6.1.1 Processo de autorização para o uso de recursos de processamento de informação
A.6.1.2 Segurança de redes
A.6.1.3 Controle de acesso a redes
A.6.1.4 Controle de acesso a sistemas
A.6.2 Identificação de riscos relacionados a partes externas
A.6.2.1 Identificação da segurança da informação quanto tratam com clientes
A.7 Gestão de ativos
A.7.1 Responsabilidades pelos ativos
A.7.1.1 Inventário dos ativos
A.7.1.2 Propriedade dos ativos
A.7.1.3 Aceitação dos ativos
A.7.2 Classificação da informação
A.7.2.1 Classificação da informação
A.7.2.2 Rotulagem e tratamento da informação
A.8 Segurança em recursos humanos
A.8.1 Antes da contratação
A.8.1.1 Atribuição de funções de segurança
A.8.2 Durante a contratação
A.8.2.1 Responsabilidades da direção
A.8.2.2 Conscientização, educação e treinamento em segurança da informação
A.8.3 Encaminhamento ao término da contratação
A.8.3.1 Rescisão de atividades
A.8.3.2 Revisão da segurança da informação
A.8.3.3 Devolução de ativos
A.9 Segurança física e do ambiente
A.9.1 Áreas seguras
A.9.1.1 Perímetro de segurança física
A.9.1.2 Controle de entrada física
A.9.1.3 Proteção contra ameaças externas e o meio ambiente
A.9.1.4 Proteção de áreas públicas
A.9.2 Segurança de equipamentos
A.9.2.1 Equipamentos seguros
A.9.2.2 Suporte de equipamentos
A.9.2.3 Manutenção de equipamentos
A.9.2.4 Segurança de equipamentos fora das dependências da organização
A.9.2.5 Remoção de propriedade
A.10 Gerenciamento das operações e comunicações
A.10.1 Procedimentos e responsabilidades operacionais
A.10.1.1 Documentação dos procedimentos de operação
A.10.1.2 Controle de operações
A.10.1.3 Proteção contra códigos maliciosos
A.10.2 Gerenciamento de serviços terceirizados
A.10.2.1 Seleção de serviços
A.10.2.2 Monitoramento e revisão de serviços
A.10.3 Planejamento e aceitação de sistemas
A.10.3.1 Planejamento da segurança
A.10.3.2 Aceitação de sistemas
A.10.4 Proteção contra códigos maliciosos
A.10.4.1 Controle de vírus
A.10.5 Cópia de segurança
A.10.5.1 Cópia de segurança da informação
A.10.5.2 Teste de cópia de segurança
A.10.6 Separação de redes
A.10.6.1 Controle de redes
A.10.6.2 Segurança dos serviços de rede
A.10.7 Manuseio de mídia
A.10.7.1 Controle de mídia
A.10.7.2 Descarte de mídia
A.10.7.3 Segurança da mídia removível
A.10.8 Troca de informações
A.10.8.1 Controle de transferência de informação
A.10.8.2 Controle de comunicação
A.10.8.3 Segurança de sistemas de comunicação
A.10.9 Segurança em redes
A.10.9.1 Controle de rede
A.10.9.2 Transmissão online
A.10.9.3 Informações publicamente disponíveis
A.11 Controle de acessos
A.11.1 Requisitos de negócio para controle de acesso
A.11.1.1 Controle de acesso ao usuário
A.11.1.2 Registro de usuário
A.11.2 Gerenciamento de acesso do usuário
A.11.2.1 Gerenciamento de privilégios
A.11.2.2 Gerenciamento de senha do usuário
A.11.2.3 Análise crítica dos direitos de acesso do usuário
A.11.2.4 Revogação do acesso do usuário
A.11.2.5 Uso de serviços
A.11.2.6 Uso de rede
A.11.2.7 Controle de acesso a rede
A.11.2.8 Controle de acesso a sistemas de informação
A.11.2.9 Controle de acesso a aplicações e a informação
A.11.2.10 Computação móvel e trabalho remoto
A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação
A.12.1 Requisitos de segurança de sistemas de informação
A.12.1.1 Análise e especificação dos requisitos de segurança
A.12.1.2 Validação dos dados de entrada
A.12.2 Processamento correto de aplicações
A.12.2.1 Controle de processamento interno
A.12.2.2 Controle de processamento externo
A.12.2.3 Controle de processamento de mensagens
A.12.3 Controles criptográficos
A.12.3.1 Política para uso de controles criptográficos
A.12.3.2 Controle de chave
A.12.3.3 Gerenciamento de chave
A.12.4 Controle de software
A.12.4.1 Controle de software operacional
A.12.4.2 Proteção de software contra códigos maliciosos
A.12.4.3 Controle de desenvolvimento de software
A.12.5 Segurança de processos de desenvolvimento e de suporte
A.12.5.1 Controle de mudanças de sistema
A.12.5.2 Controle de testes
A.12.5.3 Controle de migração para novos sistemas
A.12.6 Gestão de vulnerabilidades técnicas
A.12.6.1 Controle de vulnerabilidades técnicas
A.12.6.2 Análise de vulnerabilidades técnicas
A.12.6.3 Desenvolvimento de software seguro
A.13 Gestão de incidentes de segurança da informação
A.13.1 Reportando e aprendendo com eventos de segurança da informação
A.13.1.1 Identificação de vulnerabilidades e eventos de segurança da informação
A.13.1.2 Reportando de vulnerabilidades e eventos de segurança da informação
A.13.1.3 Responsabilidades e procedimentos
A.13.2 Gestão de incidentes de segurança da informação a mídia
A.13.2.1 Aprendendo com incidentes de segurança da informação
A.14 Gestão da continuidade do negócio
A.14.1 Aspectos da gestão da continuidade do negócio, relacionados à segurança da informação
A.14.1.1 Planejamento da continuidade do negócio
A.14.1.2 Estrutura de plano de continuidade do negócio
A.14.1.3 Teste, manutenção e revisão dos planos de continuidade do negócio
A.15 Conformidade
A.15.1 Conformidade com requisitos legais
A.15.1.1 Identificação de requisitos legais aplicáveis
A.15.1.2 Proteção de requisitos operacionais
A.15.1.3 Proteção de dados de privacidade de informação pessoal
A.15.1.4 Prevenção do uso indevido de recursos de processamento de informação
A.15.1.5 Regulamentação de controles de criptografia
A.15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica
A.15.2.1 Conformidade com as políticas e normas de segurança da informação
A.15.2.2 Conformidade com as políticas e normas de segurança da informação
A.15.2.3 Considerações quanto a suficiência de sistemas de informação
Mapa Mental ISO/IEC 27002:2013 – Controles e Objetivos de Segurança da Informação
Transcrição do Mapa Mental sobre: ISO/IEC 27002:2013
Objetivos de Controle e Controles
A.5 Políticas de segurança da informação
A.5.1 Orientação do Direção para segurança da informação
A.5.1.1 Políticas para segurança da informação
A.5.2 Análise crítica das políticas para segurança da informação
A.5.3 Responsabilidades e papéis da segurança da informação
A.6 Organização da segurança da informação
Continue lendo…
A.6.1 Organização Interna
A.6.1.1 Estrutura da organização
A.6.1.2 Contato com autoridades
A.6.1.3 Contato com grupos especiais
A.6.1.4 Segurança da informação no gerenciamento de projetos
A.6.2 Dispositivos móveis e trabalho remoto
A.6.2.1 Política para uso de dispositivos móveis
A.6.2.2 Trabalho remoto
A.7 Segurança em recursos humanos
A.7.1 Antes da contratação
A.7.1.1 Seleção
A.7.1.2 Termos e condições de contratação
A.7.2 Durante a contratação
A.7.2.1 Responsabilidades da direção
A.7.2.2 Responsabilidades dos funcionários
A.7.2.3 Treinamento, educação e conscientização em segurança da informação
A.7.3 Encerramento e ausência de contratação
A.7.3.1 Responsabilidades pós-encerramento ou ausência de contratação
A.8 Gestão de ativos
A.8.1 Responsabilidades pelos ativos
A.8.1.1 Inventário dos ativos
A.8.1.2 Propriedade dos ativos
A.8.1.3 Aceitação dos ativos
A.8.1.4 Classificação dos ativos
A.8.2 Classificação da informação
A.8.2.1 Classificação da informação
A.8.2.2 Rotulagem do tratamento da informação
A.8.3 Mídia
A.8.3.1 Gerenciamento de mídias removíveis
A.8.3.2 Descarte de mídias
A.8.3.3 Transferência física de mídias
A.9 Controle de acesso
A.9.1 Requisitos do negócio para controle de acesso
A.9.1.1 Política de controle de acesso
A.9.1.2 Acesso às redes e aos serviços de rede
A.9.2 Gestão de acesso do usuário
A.9.2.1 Registro e cancelamento de usuário
A.9.2.2 Provisionamento para acesso de usuário
A.9.2.3 Gerenciamento de direitos de acesso privilegiado
A.9.2.4 Gerenciamento da informação de autorização acadêmica de usuários
A.9.2.5 Análise crítica dos direitos de acesso do usuário
A.9.3 Responsabilidades dos usuários
A.9.4 Uso de informação de autenticação secreta
A.9.5 Restrição de acesso à informação
A.9.6 Controle de acesso ao sistema e à aplicação
A.9.6.1 Procedimentos seguros de entrada no sistema (logon)
A.9.6.2 Sistema de gerenciamento de senha
A.9.6.3 Uso de programas utilitários privilegiados
A.9.6.4 Controle de acesso ao código-fonte aos programas
A.10 Criptografia
A.10.1 Controles criptográficos
A.10.1.1 Política para uso de controles criptográficos
A.10.1.2 Chaves de criptografia
A.10.1.3 Gerenciamento de chaves de criptografia
A.11 Segurança física e do ambiente
A.11.1 Áreas seguras
A.11.1.1 Áreas de segurança física
A.11.1.2 Proteção contra ameaças externas e do meio ambiente
A.11.1.3 Proteção em áreas seguras
A.11.1.4 Áreas de entrada e de carregamento
A.11.1.5 Proteção de equipamentos fora de instalações
A.11.2 Equipamentos
A.11.2.1 Equipamentos fora da dependência da organização
A.11.2.2 Manutenção de equipamentos
A.11.2.3 Remoção de ativos
A.11.2.4 Segurança de equipamentos e ativos fora da dependência da organização
A.11.2.5 Reutilização e descarte seguro de equipamentos
A.11.2.6 Equipamento de usuário sem monitoração
A.11.2.7 Política de mesa limpa e tela limpa
A.12 Segurança nas operações
A.12.1 Responsabilidades e procedimentos operacionais
A.12.1.1 Documentação dos procedimentos de operação
A.12.1.2 Gestão de mudanças
A.12.1.3 Gestão de capacidade
A.12.1.4 Separação dos ambientes de desenvolvimento, teste e de produção
A.12.2 Proteção contra malware
A.12.2.1 Controles contra malware
A.12.3 Cópia de segurança
A.12.3.1 Cópia de segurança das informações
A.12.4 Registros e monitoramento
A.12.4.1 Eventos (logs)
A.12.4.2 Proteção das informações dos registros de eventos (logs)
A.12.4.3 Registros de eventos (log) de administrador e operador
A.12.4.4 Simplificação dos registros
A.12.5 Controle de software operacional
A.12.5.1 Instalação de software nos sistemas operacionais
A.12.6 Gestão de vulnerabilidades técnicas
A.12.6.1 Gestão de vulnerabilidades técnicas
A.12.6.2 Restrições quanto à instalação de software
A.12.7 Considerações quanto à auditoria de sistemas de informação
A.12.7.1 Controles de auditoria de sistemas de informação
A.13 Segurança nas comunicações
A.13.1 Gerenciamento da segurança em redes
A.13.1.1 Controles de rede
A.13.1.2 Segurança dos serviços de rede
A.13.1.3 Segregação de redes
A.13.2 Transferência de informação
A.13.2.1 Proteção das informações durante a transferência
A.13.2.2 Mensagens
A.13.2.3 Acordos de confidencialidade e não divulgação
A.14 Aquisição, desenvolvimento e manutenção de sistemas
A.14.1 Requisitos de segurança de sistemas de informação
A.14.1.1 Análise e especificação dos requisitos de segurança da informação
A.14.1.2 Proteção de informações de desenvolvimento de sistemas
A.14.1.3 Proteção de informações de desenvolvimento de serviços
A.14.2 Segurança em processos de desenvolvimento e de suporte
A.14.2.1 Aplicação de padrões seguros de desenvolvimento de software
A.14.2.2 Testes de segurança do software
A.14.2.3 Desenvolvimento seguro de software
A.14.2.4 Testes de segurança do sistema
A.14.2.5 Princípios para projetar sistemas seguros
A.14.2.6 Ambiente seguro para desenvolvimento
A.14.2.7 Desenvolvimento formalizado
A.14.2.8 Testes de segurança do sistema
A.14.3 Dados para teste
A.14.3.1 Proteção dos dados para teste
A.15 Relacionamento na cadeia de suprimentos
A.15.1 Segurança da informação na cadeia de suprimentos
A.15.1.1 Política de segurança da informação na cadeia de suprimentos
A.15.1.2 Identificação e aquisição da informação nos acordos com fornecedores
A.15.1.3 Cadeia de suprimentos tecnologia da informação e comunicação
A.15.2 Gerenciamento do serviço do fornecedor
A.15.2.1 Monitoramento e análise crítica de serviço com fornecedores
A.15.2.2 Gerenciamento de mudanças para serviços com fornecedores
A.16 Gestão de incidentes de segurança da informação
A.16.1 Gestão de incidentes de segurança da informação e melhorias
A.16.1.1 Responsabilidades e procedimentos
A.16.1.2 Notificação de eventos de segurança da informação
A.16.1.3 Análise e desempenho dos eventos de segurança da informação
A.16.1.4 Resposta aos incidentes de segurança da informação
A.16.1.5 Aprendizado com incidentes de segurança da informação
A.16.1.6 Coleta de evidências de incidentes de segurança da informação
A.16.1.7 Testes de segurança da informação
A.17 Aspectos da segurança da informação na gestão da continuidade do negócio
A.17.1 Continuidade da segurança da informação
A.17.1.1 Planejamento da continuidade da segurança da informação
A.17.1.2 Implementação de uma continuidade da segurança da informação
A.17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação
A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
A.18.1.1 Identificação de requisitos aplicáveis e de requisitos contratuais
A.18.1.2 Direitos de propriedade intelectual
A.18.1.3 Proteção de registros
A.18.1.4 Proteção e privacidade de informações de identificação pessoal
A.18.1.5 Regulamentação de controles de criptografia
A.18.2 Análise crítica da segurança da informação
A.18.2.1 Análise crítica independente da segurança da informação
A.18.2.2 Conformidade com as políticas normativas de segurança da informação
