(Código de Práticas para a Gestão de Segurança da Informação)
Existem várias normas da família ISO 27000 para a implementação de Sistemas de Gestão da de Segurança da Informação que expõem as boas práticas segurança da informação como:
- ISO 27000:200x (Sistemas de Gestão de Segurança da Informação - Visão Geral e Vocabulário);
- ISO 27001:2006 (Sistemas de Gestão de Segurança da Informação - Requisitos);
- ISO 27002:2005 (Código de Práticas para a Gestão de Segurança da Informação);
- ISO 27003:200x (Sistemas de Gestão de Segurança da Informação - Guia de Implementação);
- ISO 27004:200x (Gestão de Segurança da Informação - Medições);
- ISO 27005:200x (Gerenciamento de Riscos de Segurança da Informação);
- ISO 27006:2007 (Guia para a Certificação);
- ISO 27007:200x (Guia de Auditoria);
- ISO 27008:200x (Guia para Auditores);
- ...
A ISO 27002:2005 é uma norma internacional que visa mostrar as boas práticas para a segurança da informação. Tudo começou com a norma nacional BS7799-1 (BS7799 parte 1) da Inglaterra. As normas/padronizações da Inglaterra são feitas pela BSI (British Standards Institute) que é equivalente a ABNT no Brasil. Depois que esse padrão BS7799-1 ser adotada por vários países, a ISO lançou a norma internacional ISO/IEC 17799. Como havia a necessidade de ter várias normas relacionadas a segurança da informação a ISO lancou a série 27000. A seguir tem uma tabela que mostra a evolução dessas normas:
A ISO 27002 não só considera a Segurança Física e Técnica, mas também, Procedimental e de Pessoas.
- Hacker: pessoa que tenta acessar sistemas sem autorização, usando técnicas próprias ou não, no intuito de ter acesso a determinado ambiente para proveito próprio ou de terceiros. Dependendo dos objetivos podem ser chamados de Cracker, Lammer ou BlackHat;
- Cracker: ;
- Lammer: ;
- BlackHat: ;
- Worms de Rede: Código malicioso autopropagável que pode ser distribuído automaticamente de um computador para o outro por meio de conexões da LAN ou Internet. Um worm pode realizar ações perigosas como consumir banda de rede e recursos locais;
- Confiabilidade: Disponibilidade Exclusividade Integridade Confidencialidade;
- Ciclo de incidente: Ameaça, Incidente, Dano, Recuperação. As medidas de contorno (arrangement stand-by) ficam entre o incidente e o dano;
- As medidas de segurança são agrupadas em: Preventiva, Detectiva, Repressiva, Corretiva;
- O propósito do gerenciamento de risco é: Utilizar medidas para reduzir os riscos para um nível aceitável;
- SGSI (Sistema de Gestão da Segurança da Informação): visa atender aos requisitos das partes interessadas e dos clientes;
- ISO 27001: Utilizadas para realizar as auditorias de certificação;
- :Objestivos da análise de risco: identificar os ativos e o seu valor, estabelecer um meio termo entre os custos de uma medidade de segurança e os custos de um incidente e determinar a vunerabilidades e ameaças importantes;
- Expectativa de perda anual: é o valor do dano que pode ocorrer como resultado de incidentes durante o ano. É expresso em valor monetário;
- MAC: ;
- DAC: ;
- Análise de Risco: ;
- Gerenciamento de Risco: ;
- : ;
- : ;
O processo de logon identifica e autentica (autenticidade) usuários permitindo acesso a um sistema.
Siglas e Significados
- GSTI: Gerenciamento de Serviços de TI
- OGC: Office of Government Commerce. Proprietário dos direitos autorais da ITIL (cordena e mantém);
- ROI: Return Of Investiment;
- TSO: The Stationery Office;
- APMG:
- EXIN: EXamination Institute for Information Science. Oferece exames como a ITIL, ISO-2000, ISO-27000 etc. Holanda. ;
- LCS:
- ISEB:
- SLA: Service Level Agreement (ver ANS);
- SaaS: Software as a Service. Ex: RedHat, Dropbox, TIExames, EPO, Macfee, MS-Exchange na Nuvem, RightFax na Nuvem etc;
Requisitos de Segurança são as necessidades de segurança da informação que uma empresa precisa atender devido a solicitações ou exigencias de fontes. As fontes principa
Referências Bibliográgicas