ISO 27002:2013

Description

Norma ABNT ISO/IEC 27002:2013
Alessandro Coelho
Mind Map by Alessandro Coelho, updated more than 1 year ago
Alessandro Coelho
Created by Alessandro Coelho over 7 years ago
60
3

Resource summary

ISO 27002:2013

Annotations:

  • A norma está categorizada em seções, objetivos de controle e controles.  a) seções definindo os controles de segurança da informação; b) um objetivo de controle declarando o que se espera ser alcançado;  c) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.
  1. 7. Segurança em recursos humanos
    1. 7.1 - Antes da Contratação
      1. 7.1.1 - Seleção
        1. 7.1.2 - Termos e condições de contratação
        2. 7.2 - Durante a Contratação
          1. 7.2.1 - Responsabilidade da contração
            1. 7.2.2 Conscientização, educação e treinamento em segurança da informação
              1. 7.2.3 Processo Disciplinar
              2. 7.3 Encerramento e mudança de contratação
              3. 6 - Organização da segurança da informação
                1. 6.1 - Organização interna

                  Annotations:

                  • Objetivo: Estabelecer uma estrutura de gerenciamento, para iniciar e controlar a implementação e operação da segurança da informação dentro da organização. 
                  1. 6.1.1 - Responsabilidades e papéis pela segurança da informação
                    1. 6.1.2 - Segregação de funções
                      1. 6.1.3 - Contrato com autoridades
                        1. 6.1.4 - Contratos com grupos especiais
                          1. 6.1.5 - Segurança da informação em gerenciamento de projetos
                          2. 6.2 - Dispositivos móveis e trabalho remoto
                            1. 6.2.1 - Política para uso de dispositivo móvel
                              1. 6.2.2 - Trabalho remoto
                            2. 8. Gestão de Ativos
                              1. 8.1 Responsabilidade pelos ativos
                                1. 8.1.1 Inventário de ativos
                                  1. 8.1.2 Proprietário dos ativos

                                    Annotations:

                                    • Q855648
                                    1. 8.1.3 Uso aceitável dos ativos

                                      Annotations:

                                      • Conscientização pelo uso dos ativos.
                                      1. 8.1.4 Devolução de ativos
                                      2. 8.2 Classificação da informação
                                        1. 8.2.1 Classificação da informação
                                          1. 8.2.2 Rótulo e tratamento da informação
                                            1. 8.2.3 Tratamento dos ativos

                                              Annotations:

                                              • Definição de procedimentos para tratamento dos ativos conforme a classificação de cada um.
                                            2. 8.3 Tratamento de mídias
                                              1. 8.3.1 Gerenciamento de mídias removíveis
                                                1. 8.3.2 Descarte de mídias
                                                  1. 8.3.3 Transferência de mídias
                                                2. 9. Controle de Acesso
                                                  1. 9.1 Requisitos do negócio para controle de acesso
                                                    1. 9.1.1 Política de Controle de Acesso
                                                      1. 9.1.2 Acesso às redes e aos serviços de rede
                                                      2. 9.2 Gerenciamento de acesso do usuário
                                                        1. 9.2.1 Registro e cancelamento de usuário
                                                          1. 9.2.2 Provisionamento de acesso do usuário

                                                            Annotations:

                                                            • Definição de um procedimento formal para provisionamento dos privilégios de acesso dos usuários.
                                                            1. 9.2.3 Gerenciamento de direitos de acesso privilegiados
                                                              1. 9.2.4 Gerenciamento da informação de autenticação secreta de usuário

                                                                Annotations:

                                                                • Senhas são normalmente usadas como um tipo de informação de autenticação secreta, e é uma forma comum de verificar a identidade de um usuário. Outros tipos de informação de autenticação secreta são chaves criptográficas e outros dados armazenados em tokens (por exemplo, smart cards), que produzem códigos de autenticação.
                                                                1. 9.2.5 Análise crítica dos direitos de acesso dos usuários

                                                                  Annotations:

                                                                  • Este controle compensa possíveis vulnerabilidades na execução dos controles 9.2.1, 9.2.2 e 9.2.6.
                                                                  1. 9.2.6 Retirada ou ajuste de direitos de acesso

                                                                    Annotations:

                                                                    • A ação deve sempre ser executada após mudança de qualquer natureza dos usuários de acesso (atividade, lotação, demissão) sejam usuários internos sejam externos.
                                                                  2. 9.3 Responsabilidade dos usários
                                                                    1. 9.3.1 Uso da informação de autenticação secreta
                                                                    2. 9.4 Controle de acesso ao sistema e à aplicação
                                                                      1. 9.4.1 Restrição de acesso à informação
                                                                        1. 9.4.2 Procedimentos seguros de entrada no sistema (logon)
                                                                          1. 9.4.3 Sistema de gerenciamento de senha
                                                                            1. 9.4.4 Uso de programas utilitários privilegiados
                                                                              1. 9.4.5 Controle de acesso ao código-fonte de programas
                                                                            2. 10. Criptografia
                                                                              1. 10.1 Controles criptográficos
                                                                                1. 10.1.1 Política para o uso de controles criptográficos
                                                                                  1. 10.1.2 Gerenciamento de chaves
                                                                                2. 11. Segurança física do ambiente
                                                                                  1. 12. Segurança nas operações
                                                                                    1. 12.1 Responsabilidades e procedimentos operacionais
                                                                                      1. 12.1.1 Documentação dos procedimentos de operação
                                                                                        1. 12.1.2 Gestão de mudanças
                                                                                          1. 12.1.3 Gestão de capacidade
                                                                                            1. 12.1.4 Separação dos ambientes de desenvolvimento, testes e produção
                                                                                            2. 12.2 Proteção contra código maliciosos
                                                                                              1. 12.2.1 Controle contra códigos maliciosos
                                                                                              2. 12.3 Cópia de segurança
                                                                                                1. 12.3.1 Cópia de segurança das informações
                                                                                                2. 12.4 Registros e Monitoramento
                                                                                                  1. 12.4.1 Registro de eventos
                                                                                                    1. 12.4.2 Proteção das informações de registros de eventos
                                                                                                      1. 12.4.3 Registro de eventos (log) de administrador e operador
                                                                                                        1. 12.4.4 Sincronização dos relógios
                                                                                                        2. 12.5 Controle de software operacional
                                                                                                          1. 12.5.1 Instalação de software nos sistemas operacionais
                                                                                                          2. 12.6 Gestão de vulnerabilidades técnicas

                                                                                                            Annotations:

                                                                                                            • Prevenir a exploração de vulnerabilidades técnicas
                                                                                                            1. 12.6.1 Gestão de vulnerabilidades técnicas

                                                                                                              Annotations:

                                                                                                              • Tratativas necessárias para evitar e corrigir vulnerabilidades técnicas. Deve ser observado outros processos tais como gestão de mudança e incidentes. Convém atentar se os procedimentos de correção não irão impactar mais negativamente nos serviços. Deve-se ponderar tanto a correção quanto a prevenção (instalação de pacthes), pois a ação pode prejudicar os serviços relacionados. Convém que testes sejam realizados e avaliados.
                                                                                                              1. 12.6.2 Restrições quanto à instalação de software

                                                                                                                Annotations:

                                                                                                                • Deve-se definir quais softwares podem ser instalados em dispositivos computacionais, uma vez que existem softwares que podem causar danos à organização (abertura de portas, execução de códigos maliciosos). Isto pode gerar incidentes de segurança da informação (vazamento de informações, perda de integridade de dados). Convém observar também a instalação de produtos nas quais a organização não possui licença, isto é, deve-se observar a questão de direitos autorais.
                                                                                                              2. 12.7 Considerações quanto à auditoria de sistemas de informação

                                                                                                                Annotations:

                                                                                                                • Minimizar o impacto das atividades de auditoria nos sistemas operacionais.
                                                                                                                1. 12.7.1 Controles de auditoria de sistemas de informações

                                                                                                                  Annotations:

                                                                                                                  • Procedimentos necessários para reduzir o impacto da auditoria nos ambiente de produção de modo a não prejudicar os processos de negócio da organização. Vários controles devem ser aplicados para atender tais propósitos como está descrito a seguir: * Criação de perfil somente de leitura; * Segregação dos dados quando for necessário acesso com perfis que possam alterar dados dos sistemas operacionais. * Definição de regras e procedimentos quanto a execução da auditoria, horário de realização.
                                                                                                              3. 13 Segurança nas comunicações
                                                                                                                1. 13.1 Gerenciamento da segurança em redes

                                                                                                                  Annotations:

                                                                                                                  • Objetivo: Garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam. Sumário executivo: Garantir a proteção de dados que trafegam em redes e dos ativos envolvidos.
                                                                                                                  1. 13.1.1 Controle de redes

                                                                                                                    Annotations:

                                                                                                                    • Controle: Convém que as redes sejam gerenciadas e controladas para proteger as informações nos sistemas e aplicações. Resumo executivo: Aplicação de um conjunto de controles capazes que garantir a disponibilidade, confidencialidade e integridades das informações trafegadas na rede. Deve-se atentar para as redes públicas e wi-fi, bem como os sistemas que operam neste contexto. A monitoração do trafego na rede deve ser constante para prevenir o acesso indevido à ela.
                                                                                                                    1. 13.1.2 Segurança de serviços de rede

                                                                                                                      Annotations:

                                                                                                                      • Controle: Convém que mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de todos os serviços de rede, sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente como para terceirizados. Resumo executivo: Aplicação de técnicas, métodos e tecnologias tais como firewall, encriptação, serviços de monitoramento com o intuito de garantir a segurança de serviços de rede.
                                                                                                                      1. 13.1.3 Segregação de redes

                                                                                                                        Annotations:

                                                                                                                        • Controle: Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes. Resumo executivo: Segregação de redes em domínios diferentes com o intuito de garantir a segurança da informação e minimizar os riscos. Deve ser observado o acesso à rede por entes externos à organização e o tipo de acesso wireless, considerado fraco.
                                                                                                                      2. 13.2 Transferência de informação

                                                                                                                        Annotations:

                                                                                                                        • Objetivo: Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas.
                                                                                                                        1. 13.2.1 Políticas e procedimentos para transferência de informações

                                                                                                                          Annotations:

                                                                                                                          • Controle: Convém que políticas, procedimentos e controles de transferências formais, sejam estabelecidos para proteger a transferência de informações, por meio do uso de todos os tipos de recursos de comunicação. Resumo executivo: Além das tratativas necessárias para transferência de informações pelo uso de tecnologias, convém observar a comunicação dos funcionários da organização em locais públicos. Os funcionários devem ser orientados a respeito disto.
                                                                                                                          1. 13.2.2 Acordos para transferência de informações

                                                                                                                            Annotations:

                                                                                                                            • Controle: Convém que sejam estabelecidos acordos para transferência segura de informações do negócio entre a organização e partes externas.
                                                                                                                            1. 13.2.3 Mensagens eletrônicas

                                                                                                                              Annotations:

                                                                                                                              • Controle: Convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas.
                                                                                                                          Show full summary Hide full summary

                                                                                                                          Similar

                                                                                                                          História da informática
                                                                                                                          Renato Costa
                                                                                                                          QUESTIONÁRIO DE INFORMÁTICA: SISTEMAS OPERACIONAIS
                                                                                                                          anapaulabrasilam
                                                                                                                          Organização e Arquitetura de Computador
                                                                                                                          Rodrigo Gomes
                                                                                                                          ARQUITETURA DE COMPUTADORES
                                                                                                                          wesley.silva.ads
                                                                                                                          LINGUAGEM DE PROGRAMAÇÃO I
                                                                                                                          ailtonmidias
                                                                                                                          Lógica de Programação- Dados
                                                                                                                          Gabriela Alves
                                                                                                                          Introdução à Lógica de Computação
                                                                                                                          Joselaine Frantz
                                                                                                                          FlashCard sobre Pensamento Computacional
                                                                                                                          Suéllen Martinelli
                                                                                                                          História da Computação - Anos 70 a 2000
                                                                                                                          valeriabarbosa67
                                                                                                                          Introdução a Banco de dados
                                                                                                                          Ícaro Matheus