• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Aula SI3 - Norma NBR ISO 27002 / Análise e Avaliação de Riscos - FATEC-SP
 

Aula SI3 - Norma NBR ISO 27002 / Análise e Avaliação de Riscos - FATEC-SP

on

  • 9,187 views

2ª Aula da disciplina de Segurança da Informação na FATEC-SP no curso de ADS, Análise e Desenvolvimento de Sistemas - 2º Semestre de 2012.

2ª Aula da disciplina de Segurança da Informação na FATEC-SP no curso de ADS, Análise e Desenvolvimento de Sistemas - 2º Semestre de 2012.

Statistics

Views

Total Views
9,187
Views on SlideShare
9,187
Embed Views
0

Actions

Likes
3
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial LicenseCC Attribution-NonCommercial License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Aula SI3 - Norma NBR ISO 27002 / Análise e Avaliação de Riscos - FATEC-SP Aula SI3 - Norma NBR ISO 27002 / Análise e Avaliação de Riscos - FATEC-SP Presentation Transcript

    • Disciplina: SEG INFProfessores: Arima e Nichols Aula 3 - Norma ISO 27002,Análise e Avaliação de Riscos Objetivo, termos e conceitos 2S - 2012 1 28/07/2012
    • Norma NBR ISO 27002 A norma NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da Informação tem por objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Constituída de 11 seções, 39 categorias principais e 133 controles. A norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISO/IEC 27002. 2 28/07/2012
    • Norma NBR ISO 27002 - Conceitos Controle: define qual o controle específico para atender ao objetivo do controle. Diretrizes para a implementação: contém informações mais detalhadas para apoiar a implementação do controle e atender ao objetivo de controle. Informações adicionais: contém informações adicionais que podem ser consideradas, como por exemplo, considerações legais e referências a outras normas. 3 28/07/2012
    • Tríade CID A segurança da informação é baseada em 3 pilares que devem ser garantidos para manter os requisitos de segurança.  Confidencialidade: é a garantia de que a informação seja acessível apenas às pessoas autorizadas.  Integridade: é a proteção da informação e dos métodos de processamento quanto a modificações não autorizadas.  Disponibilidade: é a garantia de que as pessoas autorizadas tenham acesso às informações. 4 28/07/2012
    • Conceitos Importantes Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.  Exemplo: Inundação, Roubo, Erro de Usuário, Falha de Hardware, Malware, Invasão de Crackers. Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaça.  Data Center ao lado de um rio.  Falta de manutenção em sistemas.  Ausência de aplicação de atualizações de segurança. 5 28/07/2012
    • Conceitos Importantes Ativo de informação: todo bem da empresa que se relaciona com informação e que tenha valor para a organização, trazendo a ela benefícios. Exemplos:  Hardware: Estações de trabalho, servidores.  Software: Sistemas operacionais e aplicativos  Sistemas: Topologias e arquiteturas de HW e SW.  Documentação: Manuais, processos, políticas. Risco: é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos e causar prejuízos à organização. 6 28/07/2012
    • Seção 4: Análise e avaliação de riscos Identificar os eventos que podem causar perdas, ou seja, as ameaças. Identificar os controles existentes e a sua eficácia em evitar que uma ameaça explore uma vulnerabilidade. Com a informação das ameaças e da efetividade dos controles, podemos identificar o nível de risco. Conhecendo o nível de risco, a organização tem a oportunidade de decidir o que vai fazer em relação a cada um deles: reduzir (novos controles), aceitar, evitar ou transferir. Após esta decisão, ainda restará o risco residual sobre o qual a organização decidirá o que vai fazer. 7 28/07/2012
    • Tratamento de Risco Antes de considerar o tratamento de um risco convém definir os critérios para determinar se os riscos podem ser ou não aceitos. Risco identificado -> decisão sobre tratamento do risco Quando decidido tratar o risco Deve-se selecionar e implementar controles apropriados.Controles devem assegurar redução dos riscos a um nível aceitável. 8 28/07/2012
    • Tratamento de Risco No tratamento de risco deve-se levar em conta:  Objetivos organizacionais;  Requisitos e restrições de legislações e regulamentações;  Requisitos e restrições operacionais;  Custo de implementação e a operação em relação aos riscos;  Necessidade de balancear o investimento na Implementação de controles. Segurança deve ser algo que gere oportunidades e vantagens para a organização e não um custo. Os controles de si devem ser considerados nos estágios iniciais dos projetos e sistemas. 9 28/07/2012
    • Conclusão Nenhum conjunto de controles pode conseguir a segurança completa. Uma ação gerencial deve ser implementada para monitorar, avaliar e melhorar a eficiência e eficácia dos controles de segurança da informação. NÃO EXISTE SEGURANÇA 100% 10 28/07/2012
    • Dúvidas? 11 28/07/2012
    • Para a próxima aula: Pesquisem em grupo de até 6 pessoas:  “Gestão de Riscos: Como implementar em uma empresa?”  PS: Envie para o e-mail da disciplina até a próxima quinta-feira o PDF da pesquisa.  PS 2: Cite as fontes de pesquisa!  PS 3: Copiar e colar == 0 12 28/07/2012
    • Por hoje chega   Até a próxima aula!  PS: Estudem! 13 28/07/2012