Segurança de informação1

Segurança de Informação

24/08/2013

Mecanismo de controlo as meaças

Na segurança da informação existem alguns mecanismos para preservar as informações de formar a garantir a sua disponibilidade confidencialidade, integridade e autenticidade. Estes mecanismos são designados de mecanismo de controlo as meaças:

1. Controle de acesso: este mecanismo permite controlar quais as pessoas autorizadas a entrar em determinado local e regista do dia e hora de acesso controlando e decidindo as permissões que cada utilizador tem um sistema de controlo de acesso é constituído por diferentes equipamentos periféricos de controlo comando, interligado a uma única unidade controle que permite em diferente vários acessos

2. Detecção de Intrusos: o sistema de tenção de intrusos alerta os administradores para entrada de possíveis introduzo no sistema tenta reconhecer um comportamento ou acção através intrusos, através da análise das informações disponíveis num sistema de computação ou redes

3. Criptografia: A criptografia é a arte de codificação que permite a transformação reversível da informação de forma a torna-la inteligível a terceiros. Está utilizar determinado algoritmo na chave secreta para a partir de conjunto de dados não criptografado produzido uma sequência de dados criptografados

4. Assinatura Digital: este mecanismo é um conjunto de dados criptografado associado a um documento que garante a sua integridade e autensidade. A utilização da assinatura digital prova que uma mensagem de um determinado emissor porque é um processo que apenas o asignatura pode realizar, num entanto receptor deve poder confirmar assinatura feita pelo emissor a mensagem não pode ser alterada, se ñ a assinatura ñ corresponderá mais ao documento. Validade de uma assinatura digital verifica-se esta a se basear a certificadas emitidas por entidades certificada credenciada

5. Protecção de dados armazenados: nestes mecanismos são utilizados antivírus que são softwares capaz de detectar e remover arquivo arquivos ou programas nocivos. A preocupação de os dados armazenados faz com que se desenvolvam alguns métodos para controlar acesso por pessoas externas como a criptografia ou assinatura digital


6. Recuperação de desastres: (as catástrofes naturais indução, terremotos, etc.)Designam-se de desastres e são acontecimentos que pode causar grandes prejuízos porem com baixa probidade de ocorrência. No entanto leva nos a necessidade de implementar plano de imergência, para garantir a preservação dos documento e a própria integridade física dos colaborares de uma organização

07/09/2013

Modelo para segurança de informação:

Norma ISO/IEC 27000

Objectivo da gestão de segurança de informação é manter a qualidade das informações. E a qualidade dessas informações depende da confidencialidade, integridade e disponibilidade das mesmas. Esse princípio foi desenvolvido por de modo a tornar o padrão global de segurança de informação: conjunto ISO/IEC 27000

Na serie ISO/IEC 27000

Constitui um padrão de certificação de sistema de gestão promovido pela Internacional Standard Organisation (ISO), onde neste caso aplica-se implementação de sistema de gestão da informação (SGSI), através de estabelecimento de uma política de segurança, de controlo adequados e da gestão de risco

Está norma serve de apoio de as organizações de qualquer sector público ou privado para entender os fundamento, principio e conceitos que permitem uma melhor gestão dos seus activos de informação

A família de normas ISO/IEC 27000 inclui padrões que definem os requisitos para um SGSI e para certificação desses sistemas e prestam apoio direito e organização detalhada para o processos e requisitos dos ciclos PDCA:

P-PLAN (Plano)

D-Do (fazer)

C-Check (Verificar)

A-Act (Acção)


ISO 27000 contém termos e definições por utilizados ao longo da série 27000. Aplicação de qualquer padrão necessita de um vocabulário claramente definida para evitar diferentes interpretações de conceitos técnico e de gestão:

Controle de acesso : meios para a segurar que a cesso a activos está autorizado com base e restringidos com no trabalho em segurança

Responsabilidade : de uma entidade pelas suas acções e decisões Activos : qualquer coisa que tenha valor para organização (informação,

Software, o próprio PC, serviços, e as pessoas) Atacar : tentar destruir, alterar, expor e inutilizar roubar ou obter acesso não

autorizado ou fazer o uso não autorizado de um activo Autenticação : prestação de garantia de uma característica reclamada por uma

entidade é correcta Autenticidade : propriedade que nos diz que uma entidade é aquilo que

realmente a firma que uma entidade ser Disponibilidade : propriedade de ser acessível e utilizável por uma entidade

autorizada Confidencialidade : propriedade que garante que a informação não esta

disponível ou revelada ao indivíduos não autorizada, entidade ou processos Controlar : meio de gestão de risco incluindo as políticas de procedimentos,

directrizes, praticas ou estruturas organizacionais que podem ser de natureza administrativa técnica, de gestão ou de natureza legal

Acção Correctiva : acção para é eliminar a causa de uma não conformidade detectada ou outra acção situações indesejável

Directriz : recomendação do que é esperado que seja feito a fim de alcançar um objectivo

Segurança da informação : preservação da confidencialidade, integridade e disponibilidade das informações;

Sistema de Gestão de Informação : parte do sistema gestão global, com base numa abordagem de risco de negócio para estabelecer, implementar, operar, monitorizar, rever, manter e melhor ar a segurança da informação

Risco de Segurança de Informação : potencial que uma a meaça explore uma vulnerabilidade de um activo ou grupos de activo e assim causar danos a organização

Integridade : propriedade de proteger a exactidão de activo Sistema Gestão : âmbito das políticas procedimentos, directrizes e recursos

associados para alcançar os objectivos de uma organização Politica : Intenção e direcção geral como formalmente expressão pela gestão; Processos : conjunto de actividades inter-relacionadas ou interactivas que

transformam-se em produtos Risco : combinação da probalidade de um em ventos e das suas consequências Evento : ocorrência de um determinado conjunto de circunstâncias Análise de risco : uso sistemático de informação para identificar fontes estimar a

ocorrência de um risco


Gestão de Risco : actividade coordenada para dirigir e controlar uma organização em relação a um determinado risco

Ameaça : causa potencial de um incidente indesejado, o que pode resultar em danos para um sistema ou resultar em danos para um sistema ou entidade

Vulnerabilidade : fraqueza de um activo ou controlo que pode ser explorado por a meaças

Principais Benefícios do objectivo norma ISO/IEC27000

Beneficio:

Estabelecimento de uma metodologia clara da gestão de segurança Reduzir o risco de perda, roubo ou alteração da informação O acesso a informação é feito através das medidas de segurança Confiança e regras claras para todos envolvidos de uma organização Aumento de segurança relativamente a gestão de processos Conformidade com a legislação vigente sobre informação vigente sobre

informação pessoal, propriedade intelectual e outras, Os riscos e os seus controlos são continuamente verificados Garantia de qualidade e confidencialidade comercial

________________________________________________________________

14/09/2013

Sistema de Gestão de segurança de Informação:

Um Sistema de Gestão de Segurança da Informação (SGSI) fornecer um modelo para o estabelecimento, implementação operacionalização, monitorização, revisão, manutenção e melhoria da protecção de activos de informação com vista a alcançar os objectivos propósito por uma organização com base numa correcta de uma avaliação e gestão dos riscos inerentes a uma organização.

A implementação bem sucessedida por um sistema de gestão de informaçãodepende da analise dos requisitos para a protecção dos activos da informação, assim como dos controlos adequados para garantir essa protecção


Principio de Fundamentais para uma boa implementação de um Sistema de Gestão de Segurança da Informação

A consensciencia das necessidades de segurança da informação Atribuição de responsabilidade pela segurança de informação; Incorporar o comprimisso da gestão e os interesses de todas as partes

interessados Reforçar os valores das sociedades; Avaliar os riscos que determinam os controlos adequados para atingir níveis

aceitáveis de riscos Prevenção activa e detenção de incidentes de segurança da informação Reavaliação contínua da segurança da informação;

Em termos da segurança da Informação, um sistema de gestão permite que a organização:

Satisfaça os requisitos de segurança de clientes e outros interessados, Melhores os seus planos actividades, Cumpra os seus objectivos de segurança da informação Faça uma gestão dos seus activos de informação de uma forma organizada o que

facilita a melhoria a contínua

________________________________________________________________

21/09/2013

Norma 27001

ISO /IEC 27001

Esta norma foi publicada pelo ISO/IEC em Outubro de 2005.Foi elaborada para especificar os requisitos para o estabelecimento, implementação, operacionalização, monitorização, revisão, manutenção e melhoria de SGSI, dentro do contesto de risco de negocio de uma organização.A certificação não é um requisito obrigatório da norma ISO/IEC27001, é uma decisão da organização. Num entanto, 18 meses apoios a sua publicação mais de duas mil organizações 50 países foram certificadas o crescimento nessa área tem vindo aumentar

Objectivo da Norma ISO/IEC


Esta norma foi estabelecida com âmbito em conjunto ISO/IEC 17799 e pretende a segurar a selecção de controlo de segurança adequado e proporcional. A implementação da norma 27001 faz com que o seu foco nas necessidade de negocio e considerar a segurança da informação como parte integrante dos objectivo de negocio para realizar a gestão dos riscos

A norma ISO/IEC 27001 é universal para todos tipos de organização e especifica os requisitos para implementação consoantes as necessidades de uma organização

A certificação em conformidade com a norma 27001 normalmente envolve um conceito de auditoria:

Revisão linear da documentação chave bem como da política da organização, declaração de aplicabilidade e plano de tratamento de risco.

Realização de uma auditoria em profundidade envolvendo o controlo de SGSI declarado na declaração na aplicabilidade e plano de tratamento de risco, bem como a documentação de suporte

05/10/2013

A renovação do certificado envolve algumas revisões periódicas confirmando que SGSI continua a trabalhar como área desejado

1. Sistema A norma ISO/IEC 27001 envolve alguns componentes: Estabelecer o SGSI:

Implementar e operar o SGSI Monitorizar e Analisar criticamente o SGSI Manter e melhorar o SGSI Requisitos de Documentação Controle de Documentação Controle de Registos

2. Responsabilidade da Direcção: Comprometimento da Direcção Gestão de Recursos Provisão de Recursos Treino Consciencialização e competência

3. Auditória Internas que determinam se um SGSI: Atende aos requisitos da norma Atende aos requisitos de segurança identificados É executado conforme esperado


Todo o procedimento de uma auditória é documentado e os auditores não podem auditar o seu próprio trabalho, conferindo objectividade e imparcialidade

4. Analise Critica de SGSI pela direcção:Entrada:

Resultado das auditória e análise criticas, situações das acções preventivas e correctiva, vulnerabilidade não completada a adequadamente nas análises anteriores, resultado recomendações e mudanças Saídas:Oportunidade de incluir melhoria e mudanças modificação do SGSI das necessidades dos recursos

5.Melhoria de SGSI:Melhoria contínua através do uso da política estabelecida, resultado das auditórias, análise dos eventos monitorizados e acções correctivas

Eliminação das não conformidades através das acções correctivas e preventivas

PCAN: na verificação do sistema de segurança da informação

PCAN (Planear): Estabelecimento de política, processo e procedimentos relevante para administração de risco e para a melhoria da segurança da informação

DO (Fazer, implementar e operar): implementar e operacionalização das políticas de controle processo e procedimento do sistema

CHECK (Verificar/monitorar/Rever): expensão da performance dos processos em comparação com as políticas e objectivos de SGSI Este resultados devem ser reportado para gestão para análise

ACT (Agir/Manter/Optimizar): Tomada de acção correctiva e preventiva, baseado em auditória interna resultado SGSI e de mais informações provenientes da gestão ou de mais fontes relevante

O resultado PCAN: é correcta gestão do SGSI tendo como base espectavas e necessidades de uma organização.

Event Viewer, Logs File: da informação toda de como fazer um expensão

12/10/2013


Família da Norma ISO/IEC27000

Dentro da serie 27000 ainda podemos referir as normas 27002(Código de praticas), 27003(Guia de Implementação), 27004(Métricas e medição), 27005(Directriz de gestão de risco) 27006(Directriz de serviços de recuperação desastraste).

A norma ISO 27002 a partir de Julho de 2007 é o novo nome da norma ISO 17799.

Está norma é um guia de boas praticas que descreve os objectivos de controlo e os controlos recomendados para a segurança da informação. Norma ISO 27001.Contém alguns a nexos, que resume alguns deste controlo.

A norma ISO 27003 aborda alguma directriz para a implementação de SGSI e contem informações sobre como usar o modelo PDCA os requisitos das suas deferentes fases, ou seja ira fornecer uma bordagem de processo orientada para o sucesso da implementação de um SGSI de acorda com a norma ISO/IEC27001

A norma ISO/IEC 27004 especifica métrica e técnica de medição aplicáveis para determinar a eficácia de SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a segurança da informação essas métricas são usas principalmente para medir os componentes da fase Check do ciclo PDCA

A norma ISO/27005 estabelece directrizes para a gestão de risco em segurança da informação, fornecendo indicações para implementação, monitorização e melhoria contínua do sistema de controlo. A norma 27005 é aplicada a todos tipos de organização que se destinam a gerir os riscos que possa comprimente a segurança de informação

A norma ISO 27006 especifica os requisitos e fornece orientações para o organismo que prestem o serviço de auditória e certificação de um SGSI

26/10/2013

Sistema Lancesar: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

W X Y Z A B C D E F G H I J K L M N O P Q R S T U V

Xtx fx viciado

Tpt bt reyrwyzk

.


Amanha irei visitar o senhor presidente

WHAIW DNAD RDODN KNICJN LN

Criptografia: a criptografia é uma ciência que tem importância fundamental para a segurança da informação, a servir de base para de versas tecnologia e protocolo tais como a infrastetura de chaves publicas, ip de segurança e o Wired Equivalent Privacy (WEP). Suas propriedades que são o sigilo, interinidades, Autenticação e não repudio, garante o armazenamento, as comunicações e as transacções seguras, essencial no mundo actual.

A criptografia tem a função e importância cada vez mais fundamentais para a segurança das informações. A cifragem (Crípton) é o processo de disfarçar a mensagem original ou seja o texto claro, de tal modo que sua substância é escondida em uma mensagem com texto cifrado (Ciphertext),em quanto a de cifragem (decrepito) é o processo de transformar o texto cifrado de volta de texto claro em original.

O processo de cifragem e decifragem são realizados via uso de algoritmos com funções matemáticas que transformam os textos claros, que podem ser lidos em textos cifrados, que são inteligíveis.

A criptografia possibilita que propriedade importantes para a protecção da informação sejam alcançadas, dentre elas: Integridade, Aticidade, não repudio e sigilo

Chave publica :outras as pessoas terem acesso

Chave Priva: Para desencriptar a mensagem

A criptografia de chave Privada ou Simétrica: como a data cription standard, (3des,idea,rc6 e outros), é responsável pelo sigilo das informações, por meio da utilização de uma chave secreta para a codificação e decodificação dos dados

Samuel

Palmira

16/11/13

Mensagem CifradoMensagem

Cifrada

Rede

Pública

Mensagem

CifradaDecifrador Mensagem


Cifra de Vigenere

É um método de encriptação que usa uma série de deferente cifra de césar baseadas em letra de uma senha

Numa cifra de césar, cada letra do alfabeto e deslocada da sua posição um número fixo de lugares; por ex: Se tiver uma deslocação de 3 lugares a letra A torna-se D, letra B torna-se E. A cifra de Vigenere consiste na sequência de varias cifras de césar com deferentes valores de deslocamento

Característica

1- A cifra de vigenere pertence a classe de substituição com palavras-chaves 2- O tipo da substituição a classe Polialfabetica monogramica porque faz uso de

vários alfabetos cifrates, aplicados indivualmente aos caracteres da messagem clara.

3- O método faz uso de chaves que podem ser palavras ou chaves

D=DecriptaçãoE=EncriptaçãoK=ChaveP=Texto Puro

Na Forma de Utilização Números temos que por 1º abecedários

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

Para Fazer encriptação

P=K+E

Para fazer Decriptação

K-D

Palavra


YRX V O U A E S C O L A2 14 20 0 4 18 2 14 11 0

Encriptação da Palavra Chave Angola

MOD 26

S e soma sere 28 tem que se fazer 28-26=2

P=3+0=3=D

P=3+13=16=Q

P=3+6=9=J

P=3+14=17=R

P=3+11=14=O

P=3+0=3=D

Tabela de Vigenere

JOAO NETO

A N G O L A AN

0 13 6 14 11 0


Pra fazer decriptação utilizamos as chaves, encontramos a posição. Buscarmos a sua intercessão em função de número e a sua letra.

A=0=J=J

N=13=O=B

G=6=A=G

O=14=O=C

L=11=N=Y

A=0=E=E

A=0=T=T

N=13=O=B

MOD_26

Se a soma der 28 tem que se fazer 28-26=2

Método de Encriptação:

P=3+21=24=Y

P=3+14=17=R

P=3+20=23=X

P=3+0=3

P=3+4=7

P=3+18=21

P=3+2=5

P=3+14=17

P=3+11=14

P=3+0=3


Método Decriptação:

P=24-3=21

P=17-3=14

P=23-3=20

P=3-3=0

P=7-3=4

P=21-3=18

P=5-3=2

P=17-3=14

P=14-3=11

P=3-3=0

Quando se utiliza a chave

V O U A E S C O L A

A N G O L A A N G O

Para esta encriptação a palavra que foi encriptada foi a palavra angola que é a nossa palavra-chave é “ANGOLA” fez se encriptação na palavra ANGOLA

JOAO SEBASTIAO

DQJR ODDQ JROD

AN G O - L AAN - GOLAA

0 13 6 14 11

Segurança de informação1

Documents

Transcript of Segurança de informação1