Your SlideShare is downloading. ×
0
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP

2,380

Published on

10ª Aula da disciplina de Segurança da Informação na FATEC-SP no curso de ADS, Análise e Desenvolvimento de Sistemas - 2º Semestre de 2011

10ª Aula da disciplina de Segurança da Informação na FATEC-SP no curso de ADS, Análise e Desenvolvimento de Sistemas - 2º Semestre de 2011

Published in: Technology
1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total Views
2,380
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
1
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 10/01/2012 SEG-INF 1
  • 2. Objetivo: Garantir que segurança é parte integrante desistemas de informação. Sistemas de informação incluem sistemas operacionais, infraestrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário. 12.1.1 Análise e especificação dos requisitos de segurança  Especificar os requisitos para controles de segurança nas especificações de requisitos de negócios, para novos sistemas de informação ou melhorias em sistemas existentes.  Todos os controles devem ser justificados! 10/01/2012 SEG-INF 2
  • 3. Objetivo: Prevenir a ocorrência de erros, perdas,modificação não autorizada ou mau uso de informaçõesem aplicações. Incorporar no projeto das aplicações, controles apropriados, inclusive aquelas desenvolvidas pelos usuários, para assegurar o processamento correto. Incluir nesses controles a validação dos dados de entrada, do processamento interno e dos dados de saída. 10/01/2012 SEG-INF 3
  • 4.  12.2.1 Validação dos dados de entrada  Garantir que os dados de entrada de aplicações sejam validados, ou seja, são corretos e apropriados. 12.2.2 Controle do processamento interno  Incorporar nas aplicações, checagens de validação com o objetivo de detectar qualquer corrupção de informações, por erros ou por ações deliberadas. 12.2.3 Integridade de mensagens  Identificar os requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações e os controles apropriados sejam identificados e implementados. 12.2.4 Validação de dados de saída  Validar os dados de saída das aplicações para assegurar que o processamento das informações esteja correto e é apropriado às circunstâncias. 10/01/2012 SEG-INF 4
  • 5. Objetivo: Proteger a confidencialidade, a autenticidadeou a integridade das informações por meioscriptográficos. Desenvolver uma política de utilização de controles criptográficos. Além disso implementar o gerenciamento de chaves para apoiar o uso de técnicas criptográficos. 10/01/2012 SEG-INF 5
  • 6.  12.3.1 Política para o uso de controles criptográficos  Desenvolver e implementar uma política para o uso de controles criptográficos para a proteção da informação. 12.3.2 Gerenciamento de chaves  Implantar um processo de gerenciamento de chaves para apoiar o uso de técnicas criptográficas pela organização. 10/01/2012 SEG-INF 6
  • 7. Objetivo: Garantir a segurança de arquivos de sistema. Controlar o acesso aos arquivos de sistema e aos programas de código fonte e conduzir de forma segura as atividades de projeto de tecnologia da informação e de suporte. Tomar cuidados para evitar a exposição de dados sensíveis em ambientes de teste. 10/01/2012 SEG-INF 7
  • 8.  12.4.1 Controle de software operacional  Implementar procedimentos para controlar a instalação de software em sistemas operacionais. 12.4.2 Proteção dos dados para teste de sistema  Selecionar os dados de teste com cuidado, protegidos e controlados. 12.4.3 Controle de acesso ao código-fonte de programa  Restringir o acesso ao código-fonte de programa. 10/01/2012 SEG-INF 8
  • 9. Objetivo: Manter a segurança de sistemas aplicativos eda informação. Os gerentes responsáveis pelos sistemas aplicativos são responsáveis pela segurança dos ambientes de projeto ou de suporte. Eles devem assegurar que mudanças propostas sejam analisadas criticamente para verificar que não comprometam a segurança do sistema ou do ambiente operacional. 10/01/2012 SEG-INF 9
  • 10.  12.5.1 Procedimentos para controle de mudanças  Controlar a implementação de mudanças utilizando procedimentos formais. 12.5.2 Análise crítica técnica das aplicações após mudanças no sistema operacional  Analisar criticamente as aplicações críticas de negócios e testar quando da mudança dos sistemas operacionais, para garantir que não haverá nenhum impacto adverso na operação da organização ou na segurança. 12.5.3 Restrições sobre mudanças em pacotes de software  Modificações em pacotes de software devem ser desencorajadas e limitadas às mudanças necessárias e que todas as mudanças sejam estritamente controladas. 10/01/2012 SEG-INF 10
  • 11.  12.5.4 Vazamento de informações  Prevenir contra oportunidades para vazamento de informações. 12.5.5 Desenvolvimento terceirizado de software  A organização deve supervisionar e monitorar o desenvolvimento terceirizado de software. 10/01/2012 SEG-INF 11
  • 12. Objetivo: Reduzir riscos resultantes da exploração devulnerabilidades técnicas conhecidas. Implementar a gestão de vulnerabilidades técnicas de forma efetiva, sistemática e de forma repetível com medições de confirmação da efetividade. Estas considerações devem incluir sistemas operacionais e quaisquer outras aplicações em uso 10/01/2012 SEG-INF 12
  • 13.  12.6.1 Controle de vulnerabilidades técnicas  Obter informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados. 10/01/2012 SEG-INF 13
  • 14.  Software demo: SECUNIA PSI http://secunia.com/vulnerability_scanning/personal/ 10/01/2012 SEG-INF 14

×