Segurança da Informação Flashcards
A sigla ISO significa International Organization for Standardization.
A ISO 27000 é um conjunto de normas, cada norma tem um número 270xy, e reunem certificações de segurança da informação e proteção de dados para empresas e órgãos públicos.
A ISO 27000 é base para a criação de um sistema de gestão de segurança da informação.
Reune diversas políticas, procedimentos, diretrizes, recursos e boas práticas para a segurança de informação em uma organização.
Os principais princípios da ISO 27000 são
1. confiabilidade
2. integridade
3. disponibilidade
4. autenticidade
5. confidencialidade
Princípio da ISO 27000
Autenticidade: propriedade de que uma informação é aquilo que ela diz que é.
Dicionário: qualidade do que é autêntico, verdadeiro.
Princípio da ISO 27000
Disponibilidade: propriedade de estar disponível para acesso uso de uma entidade devidamente autorizada.
Princípio da ISO 27000
Integridade: propriedade da informação de estar correta/precisa e completa.
Princípio da ISO 27000
Confidencialidade: propriedade de que a informação não está disponível ou aberta para pessoas e entidades não autorizadas.
Segundo a ISO 27000, a segurança da informação garante a confidencialidade, disponibilidade e integridade da informação.
A ISO 27001 é a norma para administração de segurança da informação.
O Anexo A10.1 da ISO 27001 estabelece normas para o uso da criptografia, com o objetivo de proteger a confidencialidade, autenticidade e integridade da informação.
Anexo A10.1.1 estabelece normas e diretrizes para o desenvolvimento de uma política de uso da criptografia e controles criptográficos.
Anexo A10.1.1:
Deve ser desenvolvido um guia/política de gestão do uso de ferramentas de controle com criptografia na organização, incluindo os princípios que guiam como a informação deve ser protegida.
Anexo A10.1.1:
Deve ser avaliado os riscos aos quais as informações da organização estão sujeitos, incluindo seu tipo e magnitude, e com base nesses riscos devem ser decididos as ferramentas de criptografia a serem usadas.
Anexo A10.1.1:
Deve ser usado ferramentas de criptografia para garantir a segurança da informação carregada em aparelhos móveis e linhas de comunicação.
Anexo A10.1.1:
Deve ser estabelecida uma política de gestão de chaves criptográficas. Essa política deve dispor sobre a geração, processamento, armazenamento, transmissão e deleção, uso e tempo de vida de chaves criptográficas.
Anexo A10.1.1:
Exige que o equipamento usado para o armazenamento de chaves criptográficas seja fisicamente seguro.
Segundo o Anexo A9 da ISO 27001, controle de acesso constitui de limitar o acesso à informação e às localidades de armazenamento e processamento da informação.
Anexo A9 da ISO 27001:
Need-to-know: only the information you need to execute your tasks is accessible to you (specific tasks/roles mean different needs-to-know and therefore different access profiles);
Anexo A9 da ISO 27001:
Need-to-use: you grant access to information processing facilities (IT software, programs, protocols, rooms) that you would need to execute your task/job/role.
ativo de informação é qualquer dado ou informação a que esteja associado
um valor para o negócio. Representam ativos de informação as informações relevantes
mantidas na mente dos tomadores de decisão, em base de dados, arquivos de computador,
documentos e planos registrados em papel
a informação é um
bem, um patrimônio a ser preservado para uma empresa e que tem importância aos negócios.
Devido a essa importância, deve ser oferecida proteção adequada, ou seja, a proteção deve ser
proporcional à importância que determinada informação tem para uma empresa
Confidencialidade (ou Sigilo): é a garantia de que a informação não será conhecida por
quem não deve. O acesso às informações deve ser limitado, ou seja, somente as pessoas
explicitamente autorizadas podem acessá-las. Perda de confidencialidade significa
perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser
guardada com segurança, e não divulgada para pessoas sem a devida autorização para
acessá-la.
Integridade: destaca que a informação deve ser mantida na condição em que foi liberada
pelo seu proprietário, garantindo a sua proteção contra mudanças intencionais,
indevidas ou acidentais. Em outras palavras, é a garantia de que a informação que foi
armazenada é a que será recuperada!
