Your SlideShare is downloading. ×
Aula SI3 - Norma NBR ISO 27002 / Análise e Avaliação de Riscos - FATEC-SP
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Aula SI3 - Norma NBR ISO 27002 / Análise e Avaliação de Riscos - FATEC-SP

8,698
views

Published on

2ª Aula da disciplina de Segurança da Informação na FATEC-SP no curso de ADS, Análise e Desenvolvimento de Sistemas - 2º Semestre de 2012.

2ª Aula da disciplina de Segurança da Informação na FATEC-SP no curso de ADS, Análise e Desenvolvimento de Sistemas - 2º Semestre de 2012.

Published in: Technology

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
8,698
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Disciplina: SEG INFProfessores: Arima e Nichols Aula 3 - Norma ISO 27002,Análise e Avaliação de Riscos Objetivo, termos e conceitos 2S - 2012 1 28/07/2012
  • 2. Norma NBR ISO 27002 A norma NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da Informação tem por objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Constituída de 11 seções, 39 categorias principais e 133 controles. A norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISO/IEC 27002. 2 28/07/2012
  • 3. Norma NBR ISO 27002 - Conceitos Controle: define qual o controle específico para atender ao objetivo do controle. Diretrizes para a implementação: contém informações mais detalhadas para apoiar a implementação do controle e atender ao objetivo de controle. Informações adicionais: contém informações adicionais que podem ser consideradas, como por exemplo, considerações legais e referências a outras normas. 3 28/07/2012
  • 4. Tríade CID A segurança da informação é baseada em 3 pilares que devem ser garantidos para manter os requisitos de segurança.  Confidencialidade: é a garantia de que a informação seja acessível apenas às pessoas autorizadas.  Integridade: é a proteção da informação e dos métodos de processamento quanto a modificações não autorizadas.  Disponibilidade: é a garantia de que as pessoas autorizadas tenham acesso às informações. 4 28/07/2012
  • 5. Conceitos Importantes Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.  Exemplo: Inundação, Roubo, Erro de Usuário, Falha de Hardware, Malware, Invasão de Crackers. Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaça.  Data Center ao lado de um rio.  Falta de manutenção em sistemas.  Ausência de aplicação de atualizações de segurança. 5 28/07/2012
  • 6. Conceitos Importantes Ativo de informação: todo bem da empresa que se relaciona com informação e que tenha valor para a organização, trazendo a ela benefícios. Exemplos:  Hardware: Estações de trabalho, servidores.  Software: Sistemas operacionais e aplicativos  Sistemas: Topologias e arquiteturas de HW e SW.  Documentação: Manuais, processos, políticas. Risco: é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos e causar prejuízos à organização. 6 28/07/2012
  • 7. Seção 4: Análise e avaliação de riscos Identificar os eventos que podem causar perdas, ou seja, as ameaças. Identificar os controles existentes e a sua eficácia em evitar que uma ameaça explore uma vulnerabilidade. Com a informação das ameaças e da efetividade dos controles, podemos identificar o nível de risco. Conhecendo o nível de risco, a organização tem a oportunidade de decidir o que vai fazer em relação a cada um deles: reduzir (novos controles), aceitar, evitar ou transferir. Após esta decisão, ainda restará o risco residual sobre o qual a organização decidirá o que vai fazer. 7 28/07/2012
  • 8. Tratamento de Risco Antes de considerar o tratamento de um risco convém definir os critérios para determinar se os riscos podem ser ou não aceitos. Risco identificado -> decisão sobre tratamento do risco Quando decidido tratar o risco Deve-se selecionar e implementar controles apropriados.Controles devem assegurar redução dos riscos a um nível aceitável. 8 28/07/2012
  • 9. Tratamento de Risco No tratamento de risco deve-se levar em conta:  Objetivos organizacionais;  Requisitos e restrições de legislações e regulamentações;  Requisitos e restrições operacionais;  Custo de implementação e a operação em relação aos riscos;  Necessidade de balancear o investimento na Implementação de controles. Segurança deve ser algo que gere oportunidades e vantagens para a organização e não um custo. Os controles de si devem ser considerados nos estágios iniciais dos projetos e sistemas. 9 28/07/2012
  • 10. Conclusão Nenhum conjunto de controles pode conseguir a segurança completa. Uma ação gerencial deve ser implementada para monitorar, avaliar e melhorar a eficiência e eficácia dos controles de segurança da informação. NÃO EXISTE SEGURANÇA 100% 10 28/07/2012
  • 11. Dúvidas? 11 28/07/2012
  • 12. Para a próxima aula: Pesquisem em grupo de até 6 pessoas:  “Gestão de Riscos: Como implementar em uma empresa?”  PS: Envie para o e-mail da disciplina até a próxima quinta-feira o PDF da pesquisa.  PS 2: Cite as fontes de pesquisa!  PS 3: Copiar e colar == 0 12 28/07/2012
  • 13. Por hoje chega   Até a próxima aula!  PS: Estudem! 13 28/07/2012