Praticas Gestao Seguranca Informacao

FATEC - São Caetano do Sul

Estrutura – ISO/IEC 27001 / 2

Introdução

Conceito - Básico

Parte Envolvida

Proprietário - Informação

Gerente Área

Gerador Informação

Classifica Ativo Sensibilidade Grau

Ultra-secreto Secreto Confidencial Restrito

Custodiante - Informação

Garante preservação

Proteção adequada

Segurança - Informação

Disponibilidade

Sistema Computacional

Serviço Acessível Usuário

Autorizado Interrompido

Acidente Ataque

Impedimento de serviço + mensagem que capacidade de processar Impede distribuição de mensagem legítima

Ameaça

Intencional Invasão Terrorismo Chantagem Espionagem

Natural Evento

Meteorológico Probabilidade Potencial

Sistema Computacional Alvo

Ataque

Vulnerabilidade

Exposição Circunstância Ativo Ameaça

Erro Sistema

Projeto Computacional

Configuração

Vulnerabilidade

Explorada Produz

Falha Intencional Não intencional

Proteção Ausência Deficiência

Ativo X Ameaça X Vulnerabilidade

Segurança – Gestão de Riscos

AMEAÇAS VULNERABILIDADES

POLÍTICAS RISCOS ATIVOS

NECESSIDADESDE SEGURANÇA VALORES E IMPACTO

POTENCIAL A ATIVOS

EXPLORAM

EXPÕEMPROTEGEM CONTRA

TEMIMPLEMENTADAS COM

Fonte: ISO/IEC 13335-3:1998

AUMENTAMDIMINUEM

AUMENTAMAUMENTAM

AUMENTAMINDICAM

Sistema de Gestão - 27001

SGSI - Arcabouço

Gestão - Risco

Relacionamento Organização Ativo Vulnerabilidade Controle Ameaça

Risco

Probabilidade %

Impacto Dano $

Efeito Incerteza Objetivo ISO Guide 73

Risco

Sistema Computacional

Alvo Ataque Nível

Intensidade Fator Abstrato Desafio “quebra“ de segurança Mensurável Lucro

Produto Vulnerabilidade * Ameaça

Tratamento - Risco

Medida - Segurança

Medida - Segurança

Ciclo – Incidente - Medida

Dúvida