Aula SI10 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação - FATEC - SP

  • 2,171 views
Uploaded on

10ª Aula da disciplina de Segurança da Informação na FATEC-SP no curso de ADS, Análise e Desenvolvimento de Sistemas - 2º Semestre de 2011

10ª Aula da disciplina de Segurança da Informação na FATEC-SP no curso de ADS, Análise e Desenvolvimento de Sistemas - 2º Semestre de 2011

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to like this
No Downloads

Views

Total Views
2,171
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
1
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 10/01/2012 SEG-INF 1
  • 2. Objetivo: Garantir que segurança é parte integrante desistemas de informação. Sistemas de informação incluem sistemas operacionais, infraestrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário. 12.1.1 Análise e especificação dos requisitos de segurança  Especificar os requisitos para controles de segurança nas especificações de requisitos de negócios, para novos sistemas de informação ou melhorias em sistemas existentes.  Todos os controles devem ser justificados! 10/01/2012 SEG-INF 2
  • 3. Objetivo: Prevenir a ocorrência de erros, perdas,modificação não autorizada ou mau uso de informaçõesem aplicações. Incorporar no projeto das aplicações, controles apropriados, inclusive aquelas desenvolvidas pelos usuários, para assegurar o processamento correto. Incluir nesses controles a validação dos dados de entrada, do processamento interno e dos dados de saída. 10/01/2012 SEG-INF 3
  • 4.  12.2.1 Validação dos dados de entrada  Garantir que os dados de entrada de aplicações sejam validados, ou seja, são corretos e apropriados. 12.2.2 Controle do processamento interno  Incorporar nas aplicações, checagens de validação com o objetivo de detectar qualquer corrupção de informações, por erros ou por ações deliberadas. 12.2.3 Integridade de mensagens  Identificar os requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações e os controles apropriados sejam identificados e implementados. 12.2.4 Validação de dados de saída  Validar os dados de saída das aplicações para assegurar que o processamento das informações esteja correto e é apropriado às circunstâncias. 10/01/2012 SEG-INF 4
  • 5. Objetivo: Proteger a confidencialidade, a autenticidadeou a integridade das informações por meioscriptográficos. Desenvolver uma política de utilização de controles criptográficos. Além disso implementar o gerenciamento de chaves para apoiar o uso de técnicas criptográficos. 10/01/2012 SEG-INF 5
  • 6.  12.3.1 Política para o uso de controles criptográficos  Desenvolver e implementar uma política para o uso de controles criptográficos para a proteção da informação. 12.3.2 Gerenciamento de chaves  Implantar um processo de gerenciamento de chaves para apoiar o uso de técnicas criptográficas pela organização. 10/01/2012 SEG-INF 6
  • 7. Objetivo: Garantir a segurança de arquivos de sistema. Controlar o acesso aos arquivos de sistema e aos programas de código fonte e conduzir de forma segura as atividades de projeto de tecnologia da informação e de suporte. Tomar cuidados para evitar a exposição de dados sensíveis em ambientes de teste. 10/01/2012 SEG-INF 7
  • 8.  12.4.1 Controle de software operacional  Implementar procedimentos para controlar a instalação de software em sistemas operacionais. 12.4.2 Proteção dos dados para teste de sistema  Selecionar os dados de teste com cuidado, protegidos e controlados. 12.4.3 Controle de acesso ao código-fonte de programa  Restringir o acesso ao código-fonte de programa. 10/01/2012 SEG-INF 8
  • 9. Objetivo: Manter a segurança de sistemas aplicativos eda informação. Os gerentes responsáveis pelos sistemas aplicativos são responsáveis pela segurança dos ambientes de projeto ou de suporte. Eles devem assegurar que mudanças propostas sejam analisadas criticamente para verificar que não comprometam a segurança do sistema ou do ambiente operacional. 10/01/2012 SEG-INF 9
  • 10.  12.5.1 Procedimentos para controle de mudanças  Controlar a implementação de mudanças utilizando procedimentos formais. 12.5.2 Análise crítica técnica das aplicações após mudanças no sistema operacional  Analisar criticamente as aplicações críticas de negócios e testar quando da mudança dos sistemas operacionais, para garantir que não haverá nenhum impacto adverso na operação da organização ou na segurança. 12.5.3 Restrições sobre mudanças em pacotes de software  Modificações em pacotes de software devem ser desencorajadas e limitadas às mudanças necessárias e que todas as mudanças sejam estritamente controladas. 10/01/2012 SEG-INF 10
  • 11.  12.5.4 Vazamento de informações  Prevenir contra oportunidades para vazamento de informações. 12.5.5 Desenvolvimento terceirizado de software  A organização deve supervisionar e monitorar o desenvolvimento terceirizado de software. 10/01/2012 SEG-INF 11
  • 12. Objetivo: Reduzir riscos resultantes da exploração devulnerabilidades técnicas conhecidas. Implementar a gestão de vulnerabilidades técnicas de forma efetiva, sistemática e de forma repetível com medições de confirmação da efetividade. Estas considerações devem incluir sistemas operacionais e quaisquer outras aplicações em uso 10/01/2012 SEG-INF 12
  • 13.  12.6.1 Controle de vulnerabilidades técnicas  Obter informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados. 10/01/2012 SEG-INF 13
  • 14.  Software demo: SECUNIA PSI http://secunia.com/vulnerability_scanning/personal/ 10/01/2012 SEG-INF 14