Wondershare EdrawMind
Galeria de mapas mentais CISSP-1-Segurança e Gestão de Riscos
- 6
- 1
- 1
CISSP-1-Segurança e Gestão de Riscos
Mapa Mental de Certificação Profissional de Segurança de Sistemas de Informação CISSP, os conteúdos principais incluem segurança da informação e base de gerenciamento de risco, governança de segurança e estrutura de sistema de segurança, estratégia de segurança da informação, gerenciamento de risco de segurança organizacional e pessoal, lei, ética, conformidade, requisitos BCP e DRP.
Editado em 2021-11-10 12:10:04
- moléculas que compõem as células
A segunda unidade do Curso Obrigatório de Biologia resumiu e organizou os pontos de conhecimento, abrangendo todos os conteúdos básicos, o que é muito conveniente para todos aprenderem. Adequado para revisão e visualização de exames para melhorar a eficiência do aprendizado. Apresse-se e colete-o para aprender juntos!
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 16 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Extração e corrosão de mim. O conteúdo principal inclui: Corrosão de metais, Extração de metais e a série de reatividade.
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 15 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Reatividade de metais. O conteúdo principal inclui: Reações de deslocamento de metais, A série de reatividade de metais.
CISSP-1-Segurança e Gestão de Riscos
- moléculas que compõem as células
A segunda unidade do Curso Obrigatório de Biologia resumiu e organizou os pontos de conhecimento, abrangendo todos os conteúdos básicos, o que é muito conveniente para todos aprenderem. Adequado para revisão e visualização de exames para melhorar a eficiência do aprendizado. Apresse-se e colete-o para aprender juntos!
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 16 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Extração e corrosão de mim. O conteúdo principal inclui: Corrosão de metais, Extração de metais e a série de reatividade.
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 15 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Reatividade de metais. O conteúdo principal inclui: Reações de deslocamento de metais, A série de reatividade de metais.
- Recomendado para você
- Descrição
![Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717230246/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]
- 6
- 1
- 1
![Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717236196/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Estabelecimento e implementação de sistema de gestão de segurança de elementos de gestão de segurança [Versão prática]
- 9
- 1
- 1
![Discos de ruptura para instalações de segurança [Resumo das Normas]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717237017/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Válvula de segurança da instalação de segurança [versão do princípio de funcionamento]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717237159/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Válvulas de segurança para instalações de segurança [Resumo dos Regulamentos]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594727/2024-6-1/1717237189/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Governança de Segurança da Informação e Gestão de Riscos
segurança da informação e Noções básicas de gerenciamento de risco
Informação
definição
Tratamento do ciclo de vida
segurança da informação O princípio básico
Confidencialidade (confidencialidade)
Garantir que as informações sejam armazenadas, usadas e transmitidas Não será divulgado a usuários ou entidades não autorizadas
integridade (integridade)
Evitar adulterações não autorizadas;
Impedir que usuários autorizados modifiquem informações de forma inadequada
Manter a consistência interna e externa das informações
interno
externo
Disponibilidade (disponibilidade)
Garantir o uso normal de informações e recursos por usuários ou entidades autorizadas Não serão negadas exceções, permitindo acesso confiável e oportuno à informação
Trigêmeo oposto PAI
Divulgação
Alteração
Destruição
segurança da informação Tecnologias relacionadas à CIA
Confidencialidade,C
Criptografia de dados (disco inteiro, criptografia de banco de dados)
Criptografia de dados de transmissão (IPSec, SSL, PPTP, SSH)
Controle de acesso (controles físicos e técnicos)
Integridade, eu
Hash (dados completos)
assinatura de código
Gerenciamento de configuração (sistema completo)
Controle de alterações (processo concluído)
Controle de acesso (controles físicos e técnicos)
Assinatura digital de software
Função de verificação CRC da transmissão (pode ser usado para múltiplas camadas de transmissão de rede)
Disponibilidade,A
Matriz Redundante de Discos (RAID)
conjunto
balanceamento de carga
Dados e linhas de energia redundantes
Backup de software e dados
imagem de disco
Localização e instalações externas
função de reversão
Configuração de failover
controlar com segurança
Formas e meios
controle administrativo
Desenvolver estratégias, padrões, medidas e diretrizes
Gerenciamento de riscos
segurança pessoal
Treinamento de conscientização de segurança
controle técnico (Controle lógico)
Implementar e manter mecanismos lógicos de controle de acesso
Gerenciamento de senhas e recursos
Métodos de identificação e autenticação
equipamento de segurança
controle físico
Medidas para controlar o acesso individual às instalações e diferentes departamentos (controlo de acessos, segurança, fechaduras)
Perímetro de proteção (cercas, paredes, iluminação)
Detecção física de intrusões
controle ambiental
efeito
função de controle
Prevenção (dissuasão), detecção, correção/recuperação (backup, BCP, DRP) Compensação (Controle)
Noções básicas de gerenciamento de riscos de segurança da informação
Governança, Gestão de Riscos e Compliance (GRC)
Garantia
estrutura de gestão de risco
Governança de Segurança e Estrutura do Sistema de Segurança
Estrutura de referência de controle de segurança
Controle de TI, COBIT
"Controle Interno - Estrutura Geral", COSO Estrutura de gerenciamento de controle interno empresarial
definido para satisfazer relatórios financeiros e Cinco tipos de elementos de controle interno para objetivos de divulgação
ambiente de controle
avaliação de risco
atividades de controle
Informação e comunicação
monitor
Uma estrutura para muitas organizações abordarem a conformidade com a SOX 404
Gerenciamento de serviços de TI, ITIL (estrutura de melhores práticas)
ITIL é uma estrutura personalizável de gerenciamento de serviços de TI
Padrão de gerenciamento de serviços de tecnologia da informação (ISO/IEC 20000)
5 etapas principais
Estratégia de serviço
design de serviço
transição de Serviço
Operação de serviço
Melhoria contínua do serviço
Zachman
Estrutura Empresarial TOGAF
Estrutura de arquitetura de segurança SABSA
Referência de controles de segurança, NIST SP 800-53r4
Estrutura de controle de segurança de infraestrutura crítica de 2014: Estrutura de segurança cibernética do NIST
Gerenciamento de Desenvolvimento de Software CMMI (Capítulo 8)
CMM
Inicial, repetível, definido, gerenciado, otimizado
CMMI
Inicial, Gerenciado, Definido, Gerenciado Quantitativamente, Otimizando
Gestão de segurança da informação
Dois fatores para o sucesso ou fracasso da segurança da informação: tecnologia e gestão
ISO27001 (segurança da informação padrões do sistema de gestão)
Derivado de BS7799, BS7799-1 corresponde a ISO27002, BS7799-2 corresponde à ISO27001
Um conjunto abrangente de controles que consiste nas melhores práticas de segurança da informação
Versão 2013, 14 domínios, 35 categorias, 114 controles
Modelo de gestão de segurança da informação
Modelo PDCA
Plano
Com base nos resultados da avaliação de riscos, nos requisitos legais e regulamentares e nos negócios organizacionais, Determinar objetivos e medidas de controle com base nas necessidades operacionais
Implementar, fazer
Implemente controles de segurança selecionados.
Verificar
De acordo com políticas, procedimentos, padrões e leis e regulamentos, Realizar verificações de conformidade na implementação de medidas de segurança
Medidas, Agir
Tomar contramedidas com base nos resultados da inspeção para melhorar as condições de segurança
desempenho de segurança da informação
ISO27004
Política de segurança da informação, segurança organizacional e pessoal
estratégia de segurança
Hierarquia de documentos de segurança
política (As políticas mudam com menos frequência, os procedimentos mudam com mais frequência)
Declaração mais geral sobre segurança da informação
Um compromisso da alta administração de assumir a responsabilidade pela segurança da informação
Descrever o que e os objetivos proteger
padrão
Estabelecer um mecanismo de fiscalização para implementação de políticas
diretriz
Semelhante aos padrões, os métodos para fortalecer a segurança do sistema são recomendações.
Linha de base de segurança
Atender ao nível mínimo de requisitos de segurança exigidos pela política
Procedimento (procedimento/etapas/procedimentos)
Etapas detalhadas para executar uma tarefa específica (específica)
O procedimento é uma descrição detalhada (COMO) das etapas específicas para executar a tarefa de proteção.
organização de segurança
Gestão Sênior (Gestão Executiva/CEO, CFO, COO)
Totalmente responsável pela segurança da informação e a pessoa final responsável pela segurança da informação
Planejar a segurança da informação, determinar metas e sequências limitadas e delegar responsabilidades de segurança da informação
Esclarecer as metas e políticas de segurança da informação para orientar a direção das atividades de segurança da informação
Fornecer recursos para atividades de segurança da informação
Tomar decisões sobre assuntos importantes
Coordenar o relacionamento entre diferentes elos em diferentes unidades da organização
especialista em segurança da informação
Responsável por implementar e manter a segurança conforme delegado pela alta administração (geralmente ao CIO)
Projetar, implementar, gerenciar e revisar as políticas, padrões, diretrizes e procedimentos de segurança da organização
Coordenar todas as interações relacionadas à segurança entre unidades da organização
Diretor de informações, CIO
Supervisionar e ser responsável pelas operações técnicas diárias da empresa
Diretor de segurança, CSO
Garantir que os ativos de informações comerciais estejam devidamente protegidos
Desempenhar o papel de coordenador e facilitador interno de segurança da informação
Necessidade de compreender os objetivos de negócios da organização e orientar o processo de gestão de riscos, Garantir o equilíbrio certo entre as operações comerciais e os riscos aceitáveis
Responsabilidades específicas:
Orçamento para atividades de segurança da informação
Desenvolvimento de estratégias de desenvolvimento, procedimentos, linhas de base, padrões e diretrizes
Desenvolva um programa de conscientização sobre segurança
Participar de reuniões de gestão
Auxiliar em auditorias internas e externas
Comitê Diretor de Segurança
Os membros são compostos por pessoas de todos os departamentos da organização, incluindo liderança do CEO, CFO, CIO, gerentes de departamento e auditores internos chefes.
Reúna-se pelo menos uma vez por trimestre com uma agenda clara
Responsabilidades:
Definir o nível de risco aceitável de uma organização
Determine metas e estratégias de segurança
Atender às necessidades de negócios determina a prioridade das atividades de segurança
Revise a avaliação de risco e relatórios de auditoria
Monitore o impacto comercial dos riscos de segurança
Revisão de acidentes nucleares envolvendo graves violações de segurança
Aprovar quaisquer alterações significativas nas políticas e planos de segurança
O Comitê de Auditoria
Nomeado pelo Conselho de Administração para auxiliá-lo na revisão e avaliação das operações internas da empresa, dos sistemas de auditoria interna e da transparência e exatidão das demonstrações financeiras.
Responsável:
A integridade das demonstrações financeiras e informações financeiras da empresa
Sistema de controle interno da empresa
Emprego e Desempenho de Auditores Independentes
Desempenho da função de auditoria interna
Cumprir os requisitos legais e as políticas da empresa relacionadas à ética
comitê de gerenciamento de risco
Compreender os riscos da organização como um todo e auxiliar a alta administração na redução dos riscos a níveis aceitáveis.
Estude os riscos gerais do negócio, não apenas os riscos de segurança de TI
plano de segurança
A construção da segurança da informação da organização deve ser realizada de acordo com o plano, e o plano de gestão da segurança deve ser de cima para baixo.
Responsabilidades:
A alta administração define a política de segurança organizacional
A camada intermediária completa as políticas de segurança com padrões, linhas de base, diretrizes e procedimentos, e monitora sua execução.
Os gestores de negócios e especialistas em segurança são responsáveis por implementar as configurações desenvolvidas na documentação da unidade de segurança ali existente.
Os usuários finais são responsáveis por cumprir todas as políticas de segurança da organização
tipo
Plano estratégico, plano estratégico
Plano de longo prazo, por exemplo, 5 anos
, relativamente estável, define os objetivos e a missão da organização
plano tático, plano tático
Plano de médio prazo, por exemplo, 1 ano
Uma descrição detalhada das tarefas e do progresso no sentido de atingir as metas estabelecidas no plano estratégico, Como planos de emprego, planos orçamentários, etc.
plano de operação, plano operacional
Planos de curto prazo altamente detalhados e atualizados com frequência
Atualizações mensais ou trimestrais, como planos de treinamento, planos de implantação de sistema, etc.
Segurança de Pessoal (Capítulo 7)
Responsabilidades do Pessoal
proprietário dos dados
Responsável pela gestão de um determinado departamento de negócios e responsável pela proteção e aplicação de informações específicas
Tenha o dever de “devido cuidado”
Responsabilidades
Determinar a classificação dos dados
Defina requisitos de segurança e requisitos de backup para cada classificação
Definir diretrizes de acesso do usuário
Função empresarial em vez de função técnica
Gerente de dados (custodiante)
O papel do departamento de TI ou segurança
Responsabilidades
Execute backups regulares de dados
Verifique regularmente a integridade dos dados
Backup para restaurar dados
Implementar políticas, padrões e diretrizes de segurança da informação da empresa para segurança da informação e proteção de dados
proprietário do sistema
Responsável por um ou mais sistemas, cada um dos quais pode armazenar e processar dados pertencentes a diferentes proprietários de dados
Responsável por integrar fatores de segurança em aplicações e sistemas
Garantir que as vulnerabilidades do sistema sejam avaliadas
Adote medidas de segurança adequadas para garantir a segurança do sistema
administrador de segurança
Responsável por implementar, monitorar e fazer cumprir regulamentos e políticas de segurança
Reporte ao Comitê de Segurança e ao Diretor de Segurança da Informação
Auditor de Sistemas de Informação
Verifique o sistema para determinar se os requisitos de segurança são atendidos e se os controles de segurança são eficazes
Fornece garantia independente para gerenciamento de metas de segurança
analista de segurança
Ajudar a desenvolver políticas, padrões e diretrizes e definir padrões de referência
Principalmente no nível de design, não no nível de implementação
do utilizador
Ter consciência da segurança das aplicações, cumprir as políticas de segurança, usar o sistema adequadamente e relatar incidentes de segurança
Controle de recrutamento de pessoal
verificação de antecedentes
Reduza riscos, reduza custos de recrutamento e reduza a rotatividade de funcionários
Avaliação de competências
acordo de confidencialidade
Proteja informações confidenciais da empresa
Controle de pessoal no trabalho
Segregação de deveres
Ninguém deve ter controle total de uma tarefa sensível, valiosa ou crítica do início ao fim
Objetivo: Menos oportunidades para fraude ou erro
Exemplo:
Nas transações financeiras, uma pessoa é responsável pela entrada, a segunda pela verificação e a terceira pela confirmação da transação final.
Desenvolvimento/Manutenção de Produção, Gestão de Segurança/Operações/Auditoria, Gerenciamento de chave de criptografia/alterações de chave
segmentação do conhecimento
Ultimo privilégio
Permissões mínimas necessárias para atribuir responsabilidades
rotação de trabalho
Não permita que uma pessoa mantenha uma posição fixa por muito tempo para evitar que os indivíduos ganhem muito controle
Configure backup de pessoal para facilitar o treinamento cruzado e detectar fraudes
licença compulsória
Forçar o pessoal sensível do departamento a se ausentar pode detectar efetivamente fraudes, modificação de dados, abuso de recursos, etc.
Controle de saída de pessoal
Desativando direitos de acesso para funcionários demitidos
Reciclagem de itens identificáveis
Controle de pessoal de terceiros
Se o terceiro não estiver presente, mas tiver direitos de administrador
Acordos de confidencialidade devem ser assinados com organizações e indivíduos terceiros
Monitore todas as atividades de trabalho de terceiros
Garantir que a identidade do pessoal terceirizado seja verificada no momento do acesso
Se um terceiro estiver presente e tiver direitos de administrador
Com base nas medidas acima, verificações adicionais de antecedentes pessoais
Pessoal terceirizado sai do site e precisa recuperar as permissões relevantes
Adicione requisitos de confidencialidade e termos comerciais relacionados aos termos do contrato com terceiros.
Conscientização, treinamento e educação em segurança
Educação
Dotar os profissionais de segurança das competências profissionais necessárias para trabalhar.
Caminho:
Orientação teórica, seminários, leitura e estudo, investigação
insights de segurança
"Por que"
Treinamento
Ensinar habilidades de trabalho relacionadas à segurança, principalmente para pessoal de gerenciamento e manutenção de sistemas de informação
Caminho:
Orientações práticas, palestras, estudos de caso, experimentos
adquirir conhecimento
"Como fazer"
Conhecimento
A consciência coletiva geral entre os funcionários de uma organização sobre a importância da segurança e dos controles
Caminho:
Vídeo, mídia, cartazes, etc.
Enviar mensagem
"O que é"
Gerenciamento de riscos
conceito:
Identificar e avaliar riscos, reduzir riscos a níveis aceitáveis, Implementar mecanismos apropriados para manter este nível de processo
Não existe um ambiente 100% seguro, a gestão de riscos é Benefício/custo, equilíbrio segurança/usabilidade
Risco = Ameaça * Vulnerabilidade * Valor do Ativo
Risco = possibilidade * impacto
Elementos relacionados
Ativos: Ativos de informação que têm valor para a organização
Pode causar danos a ativos ou organização Possíveis causas de um incidente de segurança
ameaçar
Modelagem de ameaças (PASSADA)
A modelagem de ameaças tem uma abordagem estruturada para As ameaças que podem afetar o sistema são identificadas e avaliadas sistematicamente.
Para ver quem tem maior probabilidade de querer nos atacar, você pode começar fazendo um brainstorming Pense violentamente sobre como eles podem atingir seus objetivos e então Propor contramedidas para prevenir tais ataques
vulnerabilidade (vulnerabilidade)
Uma vulnerabilidade ou fraqueza que existe em um ativo ou grupo de ativos que pode ser explorada por uma ameaça Fraquezas que, uma vez exploradas, podem causar danos aos ativos
risco
O potencial de uma ameaça específica causar danos a um ativo ou grupo de ativos, explorando os pontos fracos de um ativo.
possibilidade
Influência
Consequências, danos diretos ou indiretos ou danos causados a uma organização por um evento inesperado
medidas de segurança
Controles ou contramedidas que limitam eventos inesperados, prevenindo ameaças e minimizando vulnerabilidades Mecanismos, métodos e medidas para reduzir riscos através de impacto e outros meios
risco residual
Riscos que permanecem após a implementação das medidas de segurança
avaliação de risco (Avaliação)
missão principal:
Identifique elementos que representam risco
Avalie a probabilidade e o impacto de um risco e, em última análise, avalie o nível ou tamanho do risco
Determinar a capacidade da organização de suportar riscos
Determinar estratégias, objetivos e prioridades para redução e controle de riscos
Recomendar contramedidas de mitigação de risco para implementação
método
Avaliação de Risco (ISO27005)
Identifique os riscos
Analise os riscos
Avalie o risco
NIST SP800-30 e SP800-66
Abordagem qualitativa de AR, com foco nos riscos de TI
1. Classificação do sistema; 2. Identificação de fraquezas; 3. Identificação de ameaças; 4. Identificação de contramedidas; 5. Avaliação de possibilidades; 6. Avaliação de impacto; 7. Avaliação de riscos; 8. Recomendação de novas contramedidas; 9. Relatório documental;
OITAVA
Uma especificação autônoma de avaliação de risco de segurança da informação baseada em riscos de ativos de informação, Enfatiza ser orientado por ativos e consiste em 3 etapas e 8 processos.
A abordagem OCTAVE implanta programas de gerenciamento de risco em toda a organização e integra-se aos planos de segurança
CRAM
Processos básicos: identificação e avaliação de ativos; avaliação de ameaças e vulnerabilidades;
FRAP
Pré-selecionado para focar apenas nos sistemas que realmente exigem avaliação para reduzir custos e tempo
Situação orçamentária limitada
STA
Crie uma árvore de todas as ameaças que um sistema pode enfrentar. As ramificações podem representar coisas como ameaças cibernéticas. Categorias como ameaças físicas e falhas de componentes exigem a remoção de ramificações não utilizadas ao executar RA.
FEMA
Derivado da análise de hardware. Examine a falha potencial de cada componente ou módulo e examine o impacto da falha
AS/NZS 4360
Um método australiano de avaliação de risco não usado especificamente para segurança
Processo de avaliação
Identifique ativos de informação
Identifique o proprietário, custodiante e usuário de cada ativo
Estabeleça uma lista de ativos e identifique ativos de informação com base nos processos de negócios
A forma em que existem ativos de informação
Dados eletrônicos: bancos de dados e arquivos de dados, manuais do usuário, etc.
Contratos escritos: contratos, diretrizes estratégicas, documentos arquivados, resultados comerciais importantes
Ativos de software: software aplicativo, software de sistema, ferramentas de desenvolvimento, programas de software
Ativos físicos: meios magnéticos, energia e ar condicionado, infraestrutura de rede, servidores, etc.
Pessoal: Uma pessoa ou função com capacidades e responsabilidades específicas
Serviços: serviços de computação e comunicações, serviços de terceirização, outros serviços técnicos
Imagem Organizacional e Reputação: Ativos Intangíveis
Avalie ativos de informação
Fatores de avaliação
perda direta causada por dano
O custo da recuperação de ativos, incluindo os custos físicos e trabalhistas de detecção, controle e reparo
Perda de imagem pública e reputação da organização, perda de vantagem competitiva
Outras perdas, como aumento dos custos de seguro
Classificar os ativos com base na importância (impacto ou consequências), Considere também as possíveis consequências do comprometimento da confidencialidade, integridade e disponibilidade.
Identifique e avalie ameaças
Um ativo pode enfrentar múltiplas ameaças e uma ameaça pode afetar vários ativos.
Identifique fontes de ameaças
Ameaça ao pessoal
Ameaças do sistema
ameaças ambientais
ameaças naturais
A avaliação da probabilidade da ameaça leva em consideração a motivação e as capacidades da fonte da ameaça
Identifique e avalie os pontos fracos
Possíveis vulnerabilidades exploráveis para cada ativo
fraqueza técnica
fraquezas operacionais
fraqueza gerencial
caminho de identificação
Relatórios de auditoria, relatórios de práticas, relatórios de inspeção de segurança, testes de sistema e relatórios de avaliação
Ferramentas automatizadas de verificação de vulnerabilidades
Avaliação de risco (Avaliação)
Impacto do risco
possibilidade de risco
estratégia de gerenciamento de risco
Métodos de tratamento de risco
Mitigar/reduzir/enfraquecer o risco (Mitigar/Reduzir Risco) (medidas de controle superiores)
reduzir ameaças
Implementar controles de código malicioso
reduzir fraquezas
Fortalecer as capacidades de operação segura por meio de treinamento de conscientização sobre segurança
reduzir o impacto
Planejamento de recuperação de desastres e continuidade de negócios planejar e fazer backups
evite riscos (Evitar/Risco)
risco de transferência (Risco de transferência) (terceirização/compra de seguros)
aceitar o risco (Aceitar Risco)
Estratégias de seleção de medidas de controle de risco
Análise de custo-benefício
Princípio Básico: O Custo da Implementação de Medidas de Segurança Não deve ser superior ao valor do bem a ser protegido
Custo da contramedida: custo de compra, impacto na eficiência do negócio , mão de obra e recursos materiais adicionais, custos de treinamento, custos de manutenção, etc.
Valor do controle = ALE antes do controle - ALE após o controle - Custo anual do controle
Restrições
restrições de tempo, restrições técnicas, restrições ambientais
restrições legais, restrições sociais
Funções básicas e eficácia das medidas de proteção
Avalie o risco residual
Riscos que permanecem ou permanecem após a implementação de controles de segurança
Risco residual Rr = risco original R0 - eficácia do controle R
Risco residual <= risco aceitável Rt
Avaliação quantitativa de risco
A análise quantitativa de risco tenta fornecer todos os elementos do processo de análise de risco recebem números específicos e significativos
Custo das medidas de proteção, valor dos ativos, impacto nos negócios, frequência das ameaças Cada elemento, incluindo a eficácia das medidas de proteção e a probabilidade de exploração da vulnerabilidade, são quantificados e, finalmente, o risco total e o risco residual são calculados
Etapas da análise quantitativa:
Atribuir valor aos ativos
Estimar perdas potenciais para cada ameaça
Avalie ameaças e vulnerabilidades e avalie ameaças específicas O impacto em um ativo específico, ou seja, EF (0% ~ 100%)
Realize análises de ameaças
Calcular a proporção anual de ocorrência (ARO)
Frequência de ocorrência: ARO (Taxa Anual de Ocorrência)
Calculado para cada ativo e ameaça Expectativa de Perda Única (SLE) de
SLE (expectativa de perda única) = valor do ativo (valor do ativo) × EF (fator de exposição)
Calcule as perdas anuais potenciais para cada ameaça
Expectativa de perda anual (ALE) calculada por ameaça
ALE = SLE × ARO
Avaliação qualitativa de risco
Considere vários cenários em que os riscos podem ocorrer e avalie-os com base em diferentes perspectivas Classificando a gravidade de várias ameaças e a eficácia de várias contramedidas
técnicas de análise qualitativa
Julgamento, melhores práticas, intuição e experiência
Técnicas de análise qualitativa para coleta de dados
Métodos de tomada de decisão em grupo, delphi
questões de pesquisa
examinar
Entrevista
Comparação de métodos qualitativos e quantitativos
Métodos e resultados qualitativos são relativamente subjetivos
Os métodos qualitativos não conseguem estabelecer um valor monetário para análise de custo/benefício
Os métodos quantitativos requerem muitos cálculos e são difíceis de implementar
Classificação da informação e gestão hierárquica
Objetivo: Descrever o nível de confidencialidade, integridade e proteção de disponibilidade necessário para cada conjunto de dados
Dependendo da sensibilidade das informações, a empresa adota diferentes medidas de controle de segurança. Garantir que as informações estejam adequadamente protegidas e priorizar a proteção da segurança (evitando a superproteção)
empresa de negócios
confidencial
privacidade
confidencial
público
estabelecimento militar
ultra secreto (Ultra secreto)
Segredo
confidencial (Confidencial)
Sensível, mas não classificado
sem categoria
Jurídico, Ética, Compliance
crime virtual
Características do crime informático:
É difícil investigar e recolher provas, e as provas são facilmente destruídas.
As leis relevantes estão incompletas
Características inter-regionais
Estatisticamente falando, os insiders são mais propensos a cometer crimes
As instituições vítimas por vezes não informam por receio de afectar o funcionamento normal da instituição e prejudicar a confiança dos utilizadores na instituição.
Tipos de crimes informáticos
crime assistido por computador
Utilização do computador como ferramenta de auxílio na prática de um crime; Os computadores não são um factor necessário na criminalidade, mas servem como ferramentas para ajudar os criminosos.
Crime direcionado ao computador
Crimes contra computadores, redes e informações armazenadas nesses sistemas
Crime Envolvido em Computador
O computador não é necessariamente o invasor ou a vítima, Aconteceu de estar envolvido no ataque quando aconteceu.
leis relacionadas com informática
Sistema legal
lei comum
lei civil
lei criminal
Lei Administrativa
sistema de direito civil
sistema de direito comum
sistema jurídico religioso
sistema jurídico misto
Lei de propriedade intelectual
segredo comercial
A capacidade da empresa de competir ou comercializar é crítica
Não muito conhecida, a empresa investiu recursos e esforços relevantes para desenvolver
Receber proteção adequada da empresa para evitar divulgação ou uso não autorizado
Exemplo:
Distribuição de produtos
Código fonte do programa
Algoritmo de criptografia
direito autoral
Direitos legalmente protegidos para publicar, copiar, exibir e modificar publicamente a maioria das obras
Não protege a criatividade do trabalho, mas sim a expressão da criatividade.
Exemplo:
Código do programa, código-fonte e arquivos executáveis, até mesmo interfaces de usuário
literatura
pintura
melodia da música
marca comercial
Protege palavras, nomes, símbolos, formas, sons, cores que representam a imagem da empresa
As marcas registradas geralmente são registradas em uma agência de registro de marcas
Uma marca é uma marca de qualidade e credibilidade estabelecida por uma empresa em sua atuação no mercado.
patente
Reconhecimento legal da propriedade de patente por um registrante de patente ou empresa, proibindo o uso não autorizado por terceiros ou empresas
Patente é válida por 20 anos
Exemplo:
formulações de medicamentos
Algoritmo de criptografia
Classificação de software
software grátis
shareware
software livre
software comercial
software acadêmico
privacidade
alvo de processamento
Procura proativamente proteger as informações de identificação pessoal (PII) dos cidadãos
Procurar proativamente equilibrar as necessidades do governo e das empresas com as preocupações de segurança em relação à coleta e uso de PII
privacidade pessoal
tipo:
direito de ser deixado sozinho
Proteção contra direitos irracionais contra indivíduos
O direito de decidir quais informações pessoais podem ser divulgadas e para quem
Questões a serem observadas:
Para evitar infrações injustificadas, o resultado final é o consentimento informado e medidas de proteção adequadas.
Para evitar a falta de métodos apropriados, o resultado final é “equidade e justiça” e existe um mecanismo de correção de erros.
Princípios de uso de informações pessoais
Obrigações do Controlador de Dados Pessoais
A recolha de dados pessoais requer o consentimento do titular dos dados e a notificação da finalidade
Recolha apenas dados relacionados com a finalidade e utilização e guarde-os apenas pelo período necessário para a finalidade.
Métodos de coleta de dados Métodos para fins de coleta de dados
Tomar medidas razoáveis, técnicas, gerenciais e operacionais para evitar que informações pessoais sejam infringidas maliciosamente, Garantir a integridade e a confidencialidade dos dados e eliminar os dados desatualizados para impedir o acesso por parte daqueles que não precisam realizar trabalho relevante.
Obrigações e direitos dos titulares de dados pessoais
Revise as informações coletadas e corrija os erros
violação de dados
Cada incidente de segurança deve ser seguido por uma investigação para saber se houve uma violação de dados.
ética
Código de Ética ISC2
Proteger a sociedade, os interesses públicos e as infraestruturas e conquistar a necessária confiança e confiança do público Agir com integridade, honestidade, justiça, responsabilidade e cumprimento da lei Promover o desenvolvimento da indústria e manter a reputação profissional Diligente, responsável e profissional
Associação de ética informática
Comitê de pesquisa de arquitetura de Internet
mito do crime informático
Requisitos BCP e DRP
Visão geral do BCP/DRP (Capítulo 7)
o que é desastre
Acidentes repentinos e infelizes que resultam em grandes perdas.
incluir:
Desastres naturais, como terremotos, inundações, incêndios naturais, erupções vulcânicas e clima convectivo severo
Sistema/técnico, como hardware, interrupções de software, erros de sistema/programação
Sistemas de abastecimento, interrupções de comunicações, falhas no sistema de distribuição, rupturas de tubulações
Provocado pelo homem, explosão, incêndio, vandalismo, contaminação química, código prejudicial
Atividades políticas, terroristas, motins, greves
desastre organizacional
Para uma organização, qualquer coisa que resulte em funções críticas de negócios sendo Eventos que não podem ser realizados dentro de um determinado período de tempo são considerados desastres
Características:
Interrupção de serviço não planejada
Interrupção prolongada do serviço
A interrupção não pode ser resolvida através de procedimentos normais de gerenciamento de problemas
Interrupções causam perdas significativas
dois elementos
A criticidade das funções de negócios afetadas pela interrupção
duração da interrupção
Plano de recuperação de desastres, DRP
Metas de recuperação de desastres
Reduza o impacto de desastres ou interrupções nos negócios
Tomar as medidas necessárias para garantir que recursos, pessoas e processos de negócios sejam restaurados o mais rápido possível
tendem a prestar mais atenção ao nível de TI
Plano de Continuidade de Negócios, BCP
metas de continuidade de negócios
Garantir que a organização ainda possa manter as operações comerciais diante de diversas situações
Resolver problemas a partir de uma perspectiva de longo prazo, principalmente fornecendo métodos e medidas para paralisações de produção e eventos de desastre a longo prazo
Alvo objetivo
Fornecer resposta oportuna e apropriada em caso de emergência
Proteja vidas e garanta a segurança
Reduza o impacto nos negócios
Restaure funções críticas de negócios
Reduza o caos durante desastres
Garanta a viabilidade do negócio
Comece a funcionar rapidamente após um desastre
O BCP deve ser consistente com os objetivos de negócios da organização e fazer parte do processo geral de tomada de decisão
O BCP deve fazer parte do programa de segurança da organização e ser coordenado com outros elementos do programa de segurança
Padrões e melhores práticas
NISTSP800-34
Desenvolver uma estratégia (política) de planejamento de continuidade
Realizar análise de impacto nos negócios (BIA)
Determinar métodos de controle preventivos
Desenvolva uma estratégia de recuperação
Desenvolver PCN
Teste BCP
Manter plano de continuidade de negócios
ISO27031
ISO22301
Planejamento do projeto BCP
Atividades preparatórias antes do lançamento do projeto BCP
Determinar as necessidades do BCP, que podem incluir análise de risco direcionada para identificar possíveis interrupções em sistemas críticos
Compreender as leis, regulamentos, normas do setor e os negócios da organização relevantes e requisitos de planejamento técnico para garantir que o BCP seja consistente com
Nomear o líder do projeto BCP e estabelecer a equipe BCP, incluindo representantes dos departamentos comercial e técnico
Desenvolva um plano de gerenciamento do projeto, que deve definir claramente o escopo do projeto, objetivos, Métodos, responsabilidades, tarefas e progresso
Convocar uma reunião de lançamento do projeto para obter apoio da gestão
Determine as ferramentas de automação necessárias para coletar dados
Treinamento de habilidades necessárias e atividades de conscientização para instalações
Líder do projeto BCP
Como líder do projeto BCP, o coordenador de continuidade de negócios é totalmente responsável pelo planejamento do projeto, Preparação, treinamento e outros trabalhos
Tarefas de trabalho
Comunicação e ligação entre a equipe de desenvolvimento do programa e a gestão
O direito de contato direto e comunicação com todos os envolvidos no plano
Compreender totalmente o impacto da interrupção de negócios nos negócios da organização
Familiarizado com as necessidades e operações da organização e com a capacidade de equilibrar as diferentes necessidades dos departamentos relevantes da organização
Acesso mais fácil à alta administração
Compreender a direção dos negócios da organização e as intenções da alta administração
Capacidade de influenciar decisões da alta administração
Funções-chave no Projeto BCP
Equipe de recuperação, múltiplas equipes que realizam avaliação, recuperação, restauração e outros trabalhos relacionados após um desastre
Os representantes das unidades de negócios identificam as funções críticas de negócios da organização e auxiliam na seleção e desenvolvimento de estratégias de recuperação
Departamento de Informática
departamento de comunicações
Departamento de Segurança da Informação
representante legal
Estratégia do PCN
O plano BCP deverá, em última análise, constituir um quadro estratégico de continuidade de negócios. Os termos registrados no BCP
Objetivos, escopo, necessidades
Princípios e diretrizes básicas
Deveres e responsabilidades
Requisitos básicos para links principais
Os termos da política devem ser formalmente aprovados pela alta administração e publicados como política organizacional para orientar os esforços de continuidade dos negócios.
BIA de Análise de Impacto nos Negócios
Visão geral da análise de impacto nos negócios
Identificar áreas que possam causar danos significativos ou interrupção operacional em caso de desastre
Método de análise BIA
Análise qualitativa para determinar o impacto de um evento de desastre ou interrupção em termos de gravidade
Análise quantitativa do impacto de um desastre ou evento perturbador em termos monetários
Finalidade da BIA
Auxiliar a gestão na compreensão dos possíveis impactos da interrupção
Identifique as principais funções de negócios e os recursos de TI que suportam essas funções
Auxiliar os gerentes na identificação de lacunas no suporte funcional organizacional
Sequencie a recuperação dos recursos de TI
Analise o impacto das interrupções
Determine janelas de recuperação para cada função de negócios
Processo BIA
Identificar técnicas de coleta de informações
Selecione os entrevistados
Identifique funções críticas de negócios e seus recursos de suporte
Determine quanto tempo esses recursos sobreviveriam se o suporte desses recursos fosse perdido
Identifique fraquezas e ameaças
Calcule o risco para cada função de negócios
Prepare-se para enviar o relatório da BIA
Problemas
Sugestões de resposta
Análise de informações da BIA
Organizar, correlacionar, analisar e confirmar
Ferramentas automatizadas qualitativas e quantitativas Auxiliar na integração e análise de informações
Representante da empresa verifica e confirma os resultados da análise das informações
Determine o tempo de interrupção permitido MTD
A principal tarefa da análise de impacto nos negócios é identificar as principais funções de negócios e Os MTDs de tempo de interrupção máximo permitido de seus recursos suportados
Os recursos que suportam múltiplas funções de negócios são mais críticos
O tempo de interrupção excede o tempo máximo de interrupção permitido (Tempo de inatividade máximo tolerável) dificultará a restauração do negócio, mais funções ou recursos mais críticos
Sequenciar a recuperação de funções críticas de negócios e seus recursos de suporte com base em MTDs
Determinação de recursos de apoio
Identificar todos os recursos de suporte para funções críticas (incluindo recursos não informáticos), O período de utilização do recurso e o impacto da falta do recurso na função e interdependências entre recursos
Métricas de recuperação de desastres
Tempo de recuperação do trabalho, WRT
O tempo de recuperação do trabalho é relativamente fixo
Objetivo de tempo de recuperação, objeto de tempo de recuperação, RTO
Antes que a indisponibilidade do sistema afete seriamente a organização O tempo máximo permitido para ser consumido
Objetivos do ponto de recuperação, objetivos do ponto de recuperação, RPO
O ponto em que os dados devem ser recuperados para continuar o processamento. Ou seja, a quantidade máxima de perda de dados permitida
RTO WRT=MTD