Praticas Gestao Seguranca Informacao
FATEC - São Caetano do Sul
Estrutura – ISO/IEC 27001 / 2
Introdução
Conceito - Básico
Parte Envolvida
Proprietário - Informação
Gerente Área
Gerador Informação
Classifica Ativo Sensibilidade Grau
Ultra-secreto Secreto Confidencial Restrito
Custodiante - Informação
Garante preservação
Proteção adequada
Segurança - Informação
Disponibilidade
Sistema Computacional
Serviço Acessível Usuário
Autorizado Interrompido
Acidente Ataque
Impedimento de serviço + mensagem que capacidade de processar Impede distribuição de mensagem legítima
Ameaça
Intencional Invasão Terrorismo Chantagem Espionagem
Natural Evento
Meteorológico Probabilidade Potencial
Sistema Computacional Alvo
Ataque
Vulnerabilidade
Exposição Circunstância Ativo Ameaça
Erro Sistema
Projeto Computacional
Configuração
Vulnerabilidade
Explorada Produz
Falha Intencional Não intencional
Proteção Ausência Deficiência
Ativo X Ameaça X Vulnerabilidade
Segurança – Gestão de Riscos
AMEAÇAS VULNERABILIDADES
POLÍTICAS RISCOS ATIVOS
NECESSIDADESDE SEGURANÇA VALORES E IMPACTO
POTENCIAL A ATIVOS
EXPLORAM
EXPÕEMPROTEGEM CONTRA
TEMIMPLEMENTADAS COM
Fonte: ISO/IEC 13335-3:1998
AUMENTAMDIMINUEM
AUMENTAMAUMENTAM
AUMENTAMINDICAM
Sistema de Gestão - 27001
SGSI - Arcabouço
Gestão - Risco
Relacionamento Organização Ativo Vulnerabilidade Controle Ameaça
Risco
Probabilidade %
Impacto Dano $
Efeito Incerteza Objetivo ISO Guide 73
Risco
Sistema Computacional
Alvo Ataque Nível
Intensidade Fator Abstrato Desafio “quebra“ de segurança Mensurável Lucro
Produto Vulnerabilidade * Ameaça
Tratamento - Risco
Medida - Segurança
Medida - Segurança
Ciclo – Incidente - Medida
Dúvida