Normas ISO e Gerência de riscos

Description

Segurança da Informação Mind Map on Normas ISO e Gerência de riscos, created by Michel Souza on 12/08/2018.
Michel Souza
Mind Map by Michel Souza, updated more than 1 year ago
Michel Souza
Created by Michel Souza over 6 years ago
9
0

Resource summary

Normas ISO e Gerência de riscos
  1. Normas ISO
    1. ISO 27001
      1. Define os REQUISITOS de um Sistema de Gestão da Segurança da Informação – SGSI
        1. Busca ESTABELECER, IMPLEMENTAR, OPERAR, MONITORAR, REVISAR, MANTER e MELHORAR a Segurança da Informação através do SGSI
          1. Esta norma é a mais básica e serve como pilar para as demais, principalmente no aspecto de certificação empresarial em gestão de segurança da informação
            1. O SGSI deve estar inserido no contexto de um sistema global da organização, contemplando aspectos voltados para o risco de negócio
            2. ISO 27002
              1. Apresenta um código de boas práticas com controles de Segurança da Informação
                1. Esses controles subsidiam a implantação de um Sistemas de Gestão da Segurança da Informação
                2. ISO 27003
                  1. Possui uma abordagem mais alto nível que define DIRETRIZES para a implementação de um SGSI
                    1. A ISO 27001 trata apenas dos REQUISITOS
                    2. ISO 27004
                      1. Definição de métricas para medição da gestão da segurança da informação
                      2. ISO 27005
                        1. Aborda a gestão de riscos da segurança da informação
                        2. NBR 15999
                          1. Trata da gestão de continuidade de negócios
                            1. Busca garantir um maior grau de disponibilidade possível
                              1. Frente a eventos diversos, entre eles os mais catastróficos, a organização não pode ter seu negócio prejudicado, gerando a continuidade necessária
                            2. NBR 22301
                              1. Trata dos requisitos para criação de um sistema de gestão de continuidade de negócios
                              2. NBR 31000
                                1. Trata da gestão de riscos em um caráter organizacional
                              3. Gerência de riscos
                                1. Conceitos importantes
                                  1. RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
                                    1. AMEAÇA: Causa potencial de um incidente indesejado
                                      1. VULNERABILIDADE: Fragilidade de um ativo que pode ser explorarada por uma ou mais ameaças
                                        1. IMPACTO: Resultado gerado por uma ameaça ao explorar uma vulnerabilidade
                                          1. Incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação
                                          2. Formas básicas de reação aos riscos
                                            1. Acrônimo: MATE
                                              1. Mitigar
                                                1. Objetiva-se atuar em prol da minimização dos riscos
                                                  1. Exemplo: pode-se restringir o acesso de determinados usuários a sites controlados
                                                  2. Aceitar
                                                    1. Para alguns erros, suas consequência são menos custosas do que a tentativa de evitá-los, mitigá-los ou transferi-los
                                                      1. Desse modo, aceita-se o risco em caso de ocorrência
                                                      2. Transferir
                                                        1. Busca-se transferir o risco para uma terceira parte
                                                          1. Nesse caso, a terceira parte assume a responsabilidade das ações frente ao risco, bem como custo e outros fatores
                                                            1. Exemplo: Ao se contratar um seguro de carro, passe-se o risco de acidente e roubo para a seguradora
                                                          2. Evitar
                                                            1. Buscam-se ações com vistas a prevenir a ocorrência de determinado risco
                                                              1. Exemplo: pode-se bloquear o acesso de determinado usuário à internet
                                                                1. Isso poderia evitar que ele acesse serviços remotamente e vaze dados pela internet
                                                          Show full summary Hide full summary

                                                          Similar

                                                          Avaliação Módulo 1 ao 4
                                                          Matheus Rafael
                                                          Security + SY0 501
                                                          Sérgio Proba
                                                          ISO/IEC 27001
                                                          Talminha
                                                          Glossário ISO 27002
                                                          Everton de Paula
                                                          Lei Geral de Proteção de Dados (LGPD)
                                                          Robson Borges
                                                          Segurança da Informação
                                                          Marcelo Aguiar
                                                          Organizando a Segurança da Informação
                                                          vinicius gomes
                                                          Módulo 3 - Mitigação de Ameaças
                                                          Matheus Rafael
                                                          Protegendo sua Privacidade
                                                          Luan Estrela
                                                          Aula 03 - Vulnerabilidade de Segurança
                                                          Braulio Torres