Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria e Controles de Segurança da Informação Aula 7 Controles de Segurança Prof. Msc Sheila Monteiro Controles de Segurança ISO27001 COBIT Matriz RACI 3 ISO27001 Prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Informação (SGSI) ISO27001 Controle de Segurança 4 Política de segurança Organizando a segurança da informação Segurança física e do ambiente Segurança nas operações e comunicações Aquis., desenv. e manut. de sistemas Gestão de incidentes de segurança da informação Gestão da cont. do negócio Conformidade Gestão de ativos Segurança em recursos humanos Controle de acessos ISO27001 Controle de Segurança A.5 Política de Segurança Documento Análise crítica ISO27001 Controle de Segurança A.6 Organizando a segurança da Informação Parte Interna Parte externa Parte Interna Comprometimento da direção Coordenação da Segurança Atribuição de responsabilidades Processo de autorização para os recursos de TI Acordos de confidencialidade Contato com autoridades Contato com grupos especiais Análise crítica independente Parte Externa Ident. dos riscos com as partes externas Ident.a segurança (acordos com terceiros) Ident. a segurança (clientes) ISO27001 Controle de Segurança A.7 Gestão de Ativos Responsabilidades pelos ativos Classificação da Informação Responsabilidade pelos ativos Inventário dos ativos Proprietário dos ativos Uso aceitável dos ativos Classificação da Informação Recomendação para a classificação Rótulos e tratamento da Informação ISO27001 Controle de Segurança A.8 Segurança em recursos humanos Antes da contratação Durante a contratação Termos e condições de contratação Antes da contratação Papéis e responsabilidades Seleção Termos e condições de contratação Durante a contratação Responsabilidade da direção Rótulos e tratamento da Informação Processo disciplinar Encerramento ou mudança da contratação Encerramento de atividades Devolução de ativos Retirada de direitos de acesso ISO27001 Controle de Segurança A.9 Segurança física e do ambiente Áreas seguras Segurança de equipamentos Áreas seguras Perímetro de segurança física Proteção contra ameaças externas e do meio ambiente Trabalhando em áreas seguras Acesso do público, áreas de entrega e carregamento Controles de entrada física Segurança em escritórios, salas e instalações Segurança de equipamentos Instalação e proteção do equipamento Manutenção dos equipamentos Segurança dos equip. fora das depend. da org. Reutilização e alienação segura de equipamentos Utilidades Segurança do cabeamento Remoção de propriedade ISO27001 Controle de Segurança 19 A.10 Gerenciamento das operações e comunicações Procedimentos e responsabilidades operacionais Gerenciamento de serviços terceirizados Planejamento e aceitação dos sistemas Proteção contra códigos maliciosos e códigos móveis Cópias de segurança Gerenciamento da segurança em redes Manuseio de mídias Troca de informações Serviços de comércio eletrônico Monitoramento Procedimentos e responsabilidades operacionais Documentação dos procedimentos de operação Separação dos recursos de desenvolvimento, teste e de produção Gestão de mudanças Segregação de funções Gerenciamento de serviços terceirizados Entrega de serviços Monitoramento e análise crítica de serviços terceirizados Gerenciamento de mudanças para serviços terceirizados Planejamento e aceitação dos sistemas Entrega de serviços Monitoramento e análise crítica de serviços terceirizados Gerenciamento de mudanças para serviços terceirizados Planejamento e aceitação dos sistemas Entrega de serviços Monitoramento e análise crítica de serviços terceirizados Gerenciamento de mudanças para serviços terceirizados Proteção contra códigos maliciosos e códigos móveis Controle contra códigos maliciosos Controles contra códigos móveis Cópias de segurança Cópias de segurança das informações Gerenciamento da segurança em redes Controles de redes Controle Segurança dos serviços de rede Manuseio de mídias Gerenciamento de mídias removíveis Descarte de mídias Procedimentos para tratamento de informação Segurança da documentação dos sistemas Troca de informações Políticas e procedimentos para troca de informações Acordos para a troca de informações Mídias em trânsito Mensagens eletrônicas Sistemas de informações do negócio Serviços de comércio eletrônico Comércio eletrônico Transações on-line Informações publicamente disponíveis Monitoramento Registros de auditoria Monitoramento do uso do sistema Proteção das informações dos registros (logs) Registros (log) de administrador e operador Registros (logs) de falhas Sincronização dos relógios ISO27001 Controle de Segurança 31 A.11 Controle de acessos Requisitos de negócio para controle de acesso Gerenciamento de acesso do usuário Responsabilidades dos usuários Controle de acesso à rede Controle de acesso à aplicação e à informação Computação móvel e trabalho remoto 32 Requisitos de negócio para controle de acesso Política de controle de acessos 33 Gerenciamento de acesso do usuário Registro de usuário Gerenciamento de privilégios Gerenciamento de senha do usuário Análise crítica dos direitos de acesso de usuário Responsabilidades dos usuários Registro de usuário Gerenciamento de privilégios Gerenciamento de senha do usuário Análise crítica dos direitos de acesso de usuário Controle de acesso à rede Política de uso dos serviços de rede Autenticação para conexão externa do usuário Identificação de equipamento em redes Proteção e configuração de portas de diagnóstico remotas Segregação de redes Controle de conexão de rede Controle de roteamento de Redes Controle de acesso ao sistema operacional Procedimentos seguros de entrada no sistema (log-on) Identificação e autenticação de usuário Sistema de gerenciamento de senha Uso de utilitários de sistema Desconexão de terminal por inatividade Limitação de horário de conexão Controle de acesso à aplicação e à informação Restrição de acesso à informação Isolamento de sistemas sensíveis Computação móvel e trabalho remoto Computação e comunicação móvel Trabalho remoto ISO27001 Controle de Segurança 39 A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação Requisitos de segurança de sistemas de informação Processamento correto de aplicações Controles criptográficos Segurança dos arquivos do sistema Segurança em processos de desenvolvimento e de suporte Gestão de vulnerabilidades técnicas Requisitos de segurança de sistemas de informação Análise e especificação dos requisitos de segurança Processamento correto de aplicações Validação dos dados de entrada Controle do processamento interno Integridade de mensagens Validação de dados de saída Controles criptográficos Política para o uso de controles criptográficos Gerenciamento de chaves Processamento correto de aplicações Validação dos dados de entrada Controle do processamento interno Integridade de mensagens Validação de dados de saída Segurança dos arquivos do sistema Controle de software operacional Proteção dos dados para teste de sistema Controle de acesso ao código- fonte de programa Segurança em processos de desenvolvimento e de suporte Procedimentos para controle de mudanças Análise crítica técnica das aplicações após mudanças no sistema operacional Restrições sobre mudanças em pacotes de software Vazamento de informações Desenvolvimento terceirizado de software Gestão de vulnerabilidades técnicas Controle de vulnerabilidades técnicasISO27001 Controle de Segurança 47 A.13 Gestão de incidentes de segurança da informação Notificação de fragilidades e eventos de segurança da informação Gestão de incidentes de segurança da informação e melhorias Notificação de fragilidades e eventos de segurança da informação Notificação de eventos de segurança da informação Notificando fragilidades de segurança da informação Gestão de incidentes de segurança da informação e melhorias Responsabilidades e procedimentos Aprendendo com os incidentes de segurança da informação Coleta de evidências ISO27001 Controle de Segurança 50 A.14 Gestão da continuidade do negócio Aspectos da gestão da continuidade do negócio, relativos à segurança da informação Aspectos da gestão da continuidade do negócio, relativos à segurança da informação Incluindo segurança da informação no processo de gestão da continuidade de negócio Continuidade de negócios e análise/avaliação de risco Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação Estrutura do plano de continuidade do negócio Testes, manutenção e reavaliação dos planos de continuidade do negócio ISO27001 Controle de Segurança 52 A.15 Conformidade Conformidade com requisitos legais Conformidade com normas e políticas de segurança da informação e conformidade técnica Considerações quanto à auditoria de sistemas de informação Conformidade com requisitos legais Identificação da legislação vigente Direitos de propriedade intelectual Proteção de registros organizacionais Proteção de dados e privacidade da informação pessoal Prevenção de mau uso de recursos de processamento da informação Regulamentação de controles de criptografia Considerações quanto à auditoria de sistemas de informação Controles de auditoria de sistemas de informação Proteção de ferramentas de auditoria de sistemas de informação Conformidade com requisitos legais Identificação da legislação vigente Direitos de propriedade intelectual Proteção de registros organizacionais Proteção de dados e privacidade da informação pessoal Prevenção de mau uso de recursos de processamento da informação Regulamentação de controles de criptografia O que vem depois? Na próxima aula conheceremos os controles de segurança do COBIT e os controles de Segurança Críticos do SANS Institute os , até lá! Dúvidas nesta aula? Procure seu tutor! Obrigada e até a próxima aula!
Compartilhar