Professional Documents
Culture Documents
CISM
Reviso
Manual
2013
Page 2
ii
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
ISBN 978-1-60420-317-2
CISM
(CISA
), Certificado
Gerenciador de Informaes de Segurana
(CISM
(CGEIT
) E Certificado em Risco
e Sistemas de Informao de Controle
TM
(CRISC
TM
designaes).
ISACA atualiza continuamente e expande a orientao e produto prtico
famlia baseada no COBIT
quadro.
COBIT ajuda os profissionais de TI e os lderes empresariais a cumprir suas
governana de TI e gesto de responsabilidades,
particularmente nas reas de segurana, segurana, risco e controle, e entregar
valor ao negcio.
Renncia
A ISACA desenvolveu e criou CISM
) Edio do CISM
Exame e
Certificao. O exame baseia-se nas declaraes de conhecimento na
prtica do trabalho, que envolveu milhares de CISMs e
outros profissionais da indstria em todo o mundo, que serviram como
membros do comit, participantes dos grupos focais, especialistas no assunto e
os respondentes.
O CISM
Manual de reviso.
Os exemplos de perguntas contidas neste manual destinam-se a descrever o
tipo de perguntas tipicamente encontrada no exame CISM e
iv
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
Agradecimentos
A edio de 2013 do CISM
Manual de reviso. Participao voluntrio impulsiona o sucesso do
manual. Se
voc est interessado em se tornar um membro do seleto grupo de
profissionais envolvidos neste projeto global, queremos ouvir de voc.
Envie um email para studymaterials@isaca.org.
Page 5
Relao de Tarefas ao
Conhecimento Statements....................................................................................
...................................... 15
Declarao de Conhecimento
Referncia Guide.................................................................................................
.................................... 16
Recursos adicionais sugeridos
para Study............................................................................................................
.......................... 26
1.3 Autoavaliao Questions ...........................................................................................
............................................................. 27
Perguntas .............................................................................................................
....................................................................... 27
Respostas a autoavaliao Questions.............................................................................................
.......................................... 28
Seo Dois: Contedo
.............................................................................................................................
................................. 29
1.4 Governana da Segurana da
Informao Overview .......................................................................................
................................... 29
1.4.1 Importncia da Segurana da
Informao Governance.......................................................................................
....................... 29
1.4.2 Resultados da Segurana da
Informao Governance.......................................................................................
......................... 30
1.5 Efetivo de Segurana da
Informao Governance ...................................................................................
........................................ 30
1.5.1 Metas e objetivos de
negcios ..............................................................................................................
........................... 31
1.5.2 mbito e Carta de Segurana da
Informao Governance.......................................................................................
............ 31
1.5.3 Atribuies e Responsabilidades das
Senior Management.............................................................................................
.............. 32
Conselhos de Administrao / Gesto
Senior ..................................................................................................................
.... 32
Executivo Management.......................................................................................
........................................................... 33
Comit
Gestor ..................................................................................................................
..................................... 33
CISO....................................................................................................................
........................................................... 33
1.5.4 Funes de Segurana da Informao e
Responsabilidades ...............................................................................................
............. 34
Obteno de Compromisso de Gesto
Senior ............................................................................................................... 3
5
Estabelecimento de notificao e comunicao Canais
............................................. .................................................. 35.
1.5.5 Governana, Gesto de
Riscos Compliance..............................................................................................
................ 35
1.5.6 Modelo de Negcios para Segurana da
Informao ..........................................................................................................
............... 37
Interligaes
Dinmicas ...........................................................................................................
.................................. 38
1.5.7 Processo de Garantia de IntegraoConvergncia ......................................................................................................
............ 39
Convergence........................................................................................................
........................................................... 39
1.6 Conceitos de Segurana da Informao
e Technologies ...................................................................................................
.............. 40
1.7 Governana e de
terceiros Relationships .....................................................................................
...................................... 40
1.8 Governana da Segurana da
Informao Metrics ..........................................................................................
................................... 40
1.8.1 Efetivo Mtricas de
Segurana ............................................................................................................
..................................... 41
1.8.2 Governana
Implementao Metrics........................................................................................
......................................... 42
1.8.3 Alinhamento
Estratgico Metrics..............................................................................................
................................................ 43
1.8.4 Gesto de
Riscos Metrics......................................................................................................
........................................... 43
1.8.5 Valor Metrics
Entrega ................................................................................................................
...................................... 43
1.8.6 Gesto de Recursos
Mtricas ..............................................................................................................
........................... 43
1.8.7
Desempenho Measurement..................................................................................
.............................................................. 44
1.8.8 Processo de Garantia de
Integrao (Convergence)....................................................................................
............................... 44
ta b le de Co nts nte
Pgina 6
2
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
ndice analtico
1.9 Estratgia de Segurana da
Informao Overview .......................................................................................
......................................... 44
1.9.1 uma viso alternativa
de Strategy...........................................................................................................
................................ 45
1.10 Desenvolver uma Segurana da
Informao Strategy .........................................................................................
............................... 46
1.10.1
comum Pitfalls.....................................................................................................
......................................................... 46
1.11 Estratgia de Segurana da
Informao Objectives .....................................................................................
......................................... 47
1.11.1 A
Meta ....................................................................................................................
...................................................... 47
1.11.2
Definindo Objectives...........................................................................................
.............................................................. 48
Negcio Linkages................................................................................................
.......................................................... 48
1.11.3 O
desejado State......................................................................................................
....................................................... 49
COBIT.................................................................................................................
........................................................... 49
Capability Maturity
Model ..................................................................................................................
.......................... 50
Equilibrado Scorecard..........................................................................................
.............................................................. 50
Arquitetnico Approaches...................................................................................
............................................................ 50
ISO / IEC 27001
e 27002.................................................................................................................
............................ 51
Outro Approaches................................................................................................
........................................................... 52
1.11.4
Risco Objectives..................................................................................................
.............................................................. 52
1.12 Determinar estado atual
de Security .........................................................................................................
......................... 53
1.12.1
atual Risk.............................................................................................................
........................................................ 53
Business Impact Analysis /
Avaliao ............................................................................................................
.............. 53
1.13 Estratgia de Segurana da
Informao Development .................................................................................
......................................... 53
1.13.1 Elementos de uma
Estratgia ............................................................................................................
........................................ 54
Estrada Map.........................................................................................................
.............................................................. 54
1.13.2 estratgia de recursos e Constraints
Overview.............................................................................................................
54
Resources.............................................................................................................
.......................................................... 54
Restries ............................................................................................................
......................................................... 54
1.14
Estratgia Resources .........................................................................................
........................................................................... 55
1.14.1 Polticas e
Normas ................................................................................................................
..................................... 55
Policies.................................................................................................................
.......................................................... 55
Standards..............................................................................................................
.......................................................... 55
Procedures............................................................................................................
.......................................................... 55
Orientaes .........................................................................................................
............................................................. 55
1.14.2 Enterprise Information
Segurana Architecture(s)....................................................................................
......................... 55
Arquitetura corporativa Alternative
Frameworks ........................................................................................................
.. 57
1.14.3
Controles .............................................................................................................
.............................................................. 57
TI Controls...........................................................................................................
.......................................................... 58
NonIT Controls...........................................................................................................
.................................................. 58
Countermeasures..................................................................................................
.......................................................... 58
Layered Defenses.................................................................................................
.......................................................... 58
1.14.4
Technologies .......................................................................................................
............................................................. 58
1.14.5 Personnel...................................................................................................
....................................................................... 58
1.14.6
Organizacional Structure.....................................................................................
............................................................. 59
1.15
Estratgia Constraints ......................................................................................
........................................................................... 63
1.15.1 requisitos legais e
regulamentares ....................................................................................................
........................... 63
Requisitos para contedo e Reteno de Registros de Negcios
.......................................... .......................................... 63
Edescoberta ...........................................................................................................
......................................................... 63
1.15.2
Fsica ...................................................................................................................
........................................................ 63
1.15.3
tica ....................................................................................................................
.......................................................... 63
1.15.4
Cultura ................................................................................................................
........................................................... 63
1.15.5 Estrutura
Organizacional ....................................................................................................
............................................. 64
1.15.6
Custos ..................................................................................................................
............................................................. 64
1.15.7
Pessoal ................................................................................................................
........................................................ 64
1.15.8
Recursos ..............................................................................................................
......................................................... 64
1.15.9 Capabilities...............................................................................................
....................................................................... 64
1.15.10
Tempo .................................................................................................................
............................................................ 64
1.15.11 Aceitao de Riscos e
Tolerncia ...........................................................................................................
......................... 64
1.16 Plano de Ao para
Implementar Strategy .......................................................................................
................................................... 64
Seo I: Panorama
.............................................................................................................................
.............................. 74
2.1 Introduction .................................................................................................
.............................................................................. 74
Definition.............................................................................................................
....................................................................... 74
Objetivos .............................................................................................................
...................................................................... 74
2.2 Tarefa e do
Conhecimento Statements ................................................................................
............................................................. 74
Tarefas ................................................................................................................
........................................................................... 74
Demonstraes
Conhecimento .....................................................................................................
.......................................................... 74
Relao de Tarefas ao
Conhecimento Statements....................................................................................
...................................... 75
Declarao de Conhecimento
Referncia Guide.................................................................................................
.................................... 76
Recursos adicionais sugeridos
para Study............................................................................................................
.......................... 85
2.3 Autoavaliao Questions ...........................................................................................
............................................................. 85
Perguntas .............................................................................................................
....................................................................... 85
Respostas a autoavaliao Questions.............................................................................................
.......................................... 86
Seo Dois: Contedo
.............................................................................................................................
................................. 89
2.4 Gesto de
Riscos Overview ................................................................................................
.................................................... 89
2.4.1 A Importncia da Gesto de
Risco ...................................................................................................................
............ 90
2.4.2 Resultados de
Risco Management..............................................................................................
........................................... 90
2.5 Gesto de
Riscos Strategy ..................................................................................................
.................................................... 90
2.5.1 Comunicao de Risco, a conscincia do risco
e Consulting..................................................................................................... 9
1
Page 8
4
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
ndice analtico
2.6 Risco eficaz Segurana da
Informao Management .................................................................................
............................... 91
2.6.1 O desenvolvimento de uma Gesto de
Riscos Program....................................................................................................
..................... 91
Estabelecer Contexto e
Objetivo ..............................................................................................................
....................... 91
Definir o escopo
e Charter...............................................................................................................
............................... 91
Identificao, classificao e
propriedade ..................................................................................................... 9
2
Determinar Objectives.........................................................................................
............................................................ 92
Determinar Methodologies..................................................................................
............................................................ 92
Programa de Desenvolvimento
Designar Team.....................................................................................................
.................... 92
2.6.2 Papis
e Responsibilities.................................................................................................
............................................... 92
Chave Roles.........................................................................................................
.............................................................. 92
2.10.9 Avaliao de
Risco ...................................................................................................................
...................................... 108
2.10.10 tratamento de
riscos Options......................................................................................................
......................................... 108
Termine
a Activity..............................................................................................................
.................................... 109
Transferir
o Risk...................................................................................................................
....................................... 109
Mitigar
o Risk...................................................................................................................
....................................... 109
Tolerar / aceite
a Risk...................................................................................................................
........................... 109
Aceitao de
Riscos Framework...............................................................................................
......................................... 109
2.10.11 Impact.....................................................................................................
..................................................................... 109
2.10.12 requisitos legais e
regulamentares ....................................................................................................
....................... 110
2.10.13
Residual Risk.......................................................................................................
........................................................ 110
2.10.14 Custos
e Benefits.............................................................................................................
.......................................... 110
2.10.15 Reavaliao Risco de eventos que afetam linhas de base de segurana
........................................ ................................................ 111
2.11 Informaes de
Recursos Valuation ...........................................................................................
................................................ 111
2.11.1 Informaes de Recursos Estratgias de
Avaliao ............................................................................................................
....... 112
2.11.2 Informaes de Recursos
Avaliao Methodologies....................................................................................
....................... 112
3.6.2 Recursos
Tecnolgicos .......................................................................................................
.............................................. 146
3.7 mbito e Carta de Segurana da
Informao Program ........................................................................................
........... 146
3.8 A Gesto da Segurana da
Informao Framework ...................................................................................
........................ 148
3.8.1 COBIT
5 ..........................................................................................................................
................................................ 148
COBIT 5 for
Information Security ...........................................................................................
.................................... 149
3.8.2 ISO / IEC
27001 ..................................................................................................................
.............................................. 149
3.9 Informaes
Framework Components ..................................................................................
.................................... 150
3.9.1
Operacional Components.....................................................................................
............................................................ 150
3.9.2
Gesto Components.............................................................................................
.................................................. 150
3.9.3 Componentes
administrativos ....................................................................................................
........................................ 151
3.9.4 educativo e
informativo Components.....................................................................................
.............................. 151
Page 10
6
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
ndice analtico
3.10 A definio de um Programa Estrada Segurana da
Informao Map ...............................................................................................
....... 152
Skills....................................................................................................................
......................................................... 159
Cultura ................................................................................................................
......................................................... 159
3.13.2 Security Awareness, Formao
e Education..........................................................................................................
....... 159
3.13.3 Documentation..........................................................................................
..................................................................... 160
Manuteno de
Documentos ........................................................................................................
....................................... 161
3.13.4 Programa de Desenvolvimento e
Projeto Management............................................................................................
.............. 161
3.13.5
Risco Management..............................................................................................
............................................................ 162
Gesto de
Riscos Responsibilities........................................................................................
...................................... 162
3.13.6 Caso de Desenvolvimento de
Negcios .............................................................................................................
............................ 162
Business
Case Evaluation...................................................................................................
......................................... 162
Objetivos de caso de
negcio ................................................................................................................
............................ 162
3.13.7
Programa Budgeting............................................................................................
............................................................ 163
Elementos de um Oramento-Programa de Segurana da Informao
........................................... .................................................. 163 ..
3.13.8 Regras Gerais de Uso / Poltica de Utilizao
Aceitvel .............................................................................................................
.. 163
Gesto 3.13.9 Informaes problema de
segurana Practices..............................................................................................
.... 163
3.13.10
Vendedor Management........................................................................................
............................................................ 164
Tecnologia da
Informao Unit...................................................................................................
.................................... 168
Gestores de Unidade de
Negcios .............................................................................................................
................................. 169
Recursos
Humanos .............................................................................................................
........................................... 169
Legal Department................................................................................................
......................................................... 169
Employees............................................................................................................
........................................................ 169
Procurement.........................................................................................................
........................................................ 169
Observncia ........................................................................................................
.......................................................... 170
Privacy.................................................................................................................
......................................................... 170
Training................................................................................................................
........................................................ 170
Qualidade Assurance...........................................................................................
............................................................. 170
Pgina 11
Avaliao Dependncia de
recursos ...............................................................................................................
.............. 177
3.14.9 Outsourcing e
Servios Providers...............................................................................................
................................. 177
Terceirizao de
Contratos .............................................................................................................
.................................... 178
Terceiros Access..................................................................................................
..................................................... 179
3.14.10 Cloud
Computing ..........................................................................................................
.............................................. 179
Advantages...........................................................................................................
........................................................ 180
Consideraes sobre
segurana ............................................................................................................
.................................. 180
3.14.11 Integrao com Processos de
TI .........................................................................................................................
............ 180
Integration............................................................................................................
........................................................ 180
Ciclo de vida do
sistema Processes.................................................................................................
...................................... 180
Gesto da
Mudana ..............................................................................................................
..................................... 180
Configurao Management..................................................................................
....................................................... 182
Gerenciamento de
Liberao ............................................................................................................
....................................... 182
3.15 Controles
e Countermeasures ...........................................................................................
................................................... 182
3.15.1
Controle Categories.............................................................................................
............................................................ 183
3.15.2 Control
Design Considerations.........................................................................................
............................................. 183
3.16.1
Metrics Development...........................................................................................
.......................................................... 190
Estratgico ..........................................................................................................
............................................................. 190
Management.........................................................................................................
........................................................ 190
Operational...........................................................................................................
........................................................ 190
3.16.2
Monitoramento Approaches................................................................................
................................................................. 191
Monitoramento das atividades de segurana em infra-estrutura e aplicaes de
negcios .......................................... .................... 191
Determinar o sucesso de Segurana da Informao Investimentos
............................................ ............................................ 192
Page 12
8
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
ndice analtico
3.16.3 Medio Informaes Desempenho de Gesto de Segurana
.......................................... .............................................. 192
3.16.4 Medio de Informao de Risco de Segurana
e Loss............................................................................................................ 192
3.16.5 Medio apoio aos objetivos
organizacionais ...................................................................................................
...... 193
3.16.6
Medio Compliance...........................................................................................
....................................................... 193
3.16.7 Medio
Operacional Productivity.....................................................................................
......................................... 193
3.16.8 Medio Segurana Costeffectiveness.........................................................................................................
................. 194
3.16.9 Medio
Organizacional Awareness...................................................................................
......................................... 194
3.16.10 Analisando a eficcia de Tcnico de Segurana Arquitetura
......................................... ............................................. 194
4.7 Gerenciamento de
Incidentes Resources .........................................................................................
................................................. 214
4.7.1 Polticas e
Normas ................................................................................................................
..................................... 214
4.7.2 Tecnologia de Resposta a
Incidentes Concepts.............................................................................................
............................ 214
4.7.3 Personnel.....................................................................................................
..................................................................... 215
Equipe de Resposta a
Incidentes Organization.......................................................................................
.................................. 215
4.7.4 Funes
e Responsibilities.................................................................................................
.............................................. 216
4.7.5 Skills...........................................................................................................
..................................................................... 217
4.7.6 Conscientizao e
Educao .............................................................................................................
................................... 217
4.7.7 Audits..........................................................................................................
..................................................................... 217
4.7.8 fornecedores terceirizados de
segurana ............................................................................................................
............................ 218
4.8 Gerenciamento de
Incidentes Objectives ........................................................................................
.................................................. 218
4.8.1
Definindo Objectives...........................................................................................
.............................................................. 218
4.8.2 O
desejado State......................................................................................................
....................................................... 218
4.8.3 Alinhamento
Estratgico ..........................................................................................................
............................................... 218
4.8.4
Risco Management..............................................................................................
.............................................................. 218
Pgina 13
4.13.8
Estratgia Implementation...................................................................................
............................................................. 229
4.13.9 Plano de
Recuperao Elements.........................................................................................
....................................................... 229
4.13.10 A integrao de objetivos de recuperao e anlise de impacto Com
Incident Response ...................................... ................... 229
Aceitao de Riscos e
Tolerncia ...........................................................................................................
........................ 229
Business Impact
Analysis ..............................................................................................................
.............................. 229
Objetivos de Tempo de
Recuperao ........................................................................................................
................................... 230
Ponto de
recuperao Objectives........................................................................................
................................................... 230
Prestao de
Servios Objectives..............................................................................................
........................................... 230
Mxima tolervel de
Interrupo ..........................................................................................................
.............................. 230
4.13.11 requisitos de
notificao ...........................................................................................................
............................... 230
4.13.12
Suprimentos ........................................................................................................
............................................................... 230
4.13.13
Comunicao Networks.......................................................................................
.................................................... 230
4.13.14 Os mtodos para fornecer a continuidade da
Rede Services............................................................................................. 231
4.13.15 alta
disponibilidade Considerations............................................................................
..................................................... 231
4.13.16 Insurance.................................................................................................
..................................................................... 232
4.13.17 Recuperao de
Atualizao Plans.................................................................................................
............................................ 232
10
CISM manual comentrio 2013
Viso global
O CISM
nessas reas.
formato deste manual
Cada um dos quatro captulos do CISM
.
Alm disso, observe que o manual foi escrito usando o padro
Ingls Americano.
Ab esta Man ual
Page 16
12
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
Nota: O
CISM
Manual de reviso
um documento vivo. Como
avanos tecnolgicos e de gesto de segurana da informao
prticas de evoluir, o manual ser atualizado para refletir tal
mudanas. Outras actualizaes deste documento antes da data do
exame pode ser visto em
www.isaca.org / studyaidupdates
.
Sugestes para melhorar o manual reviso ou sugeridos
materiais de referncia devem ser submetidas on-line em
www.isaca.org / studyaidsevaluation.
Sobre as questes de reviso do CISM,
Prtica
V13 Pergunta Banco de Dados. A base de dados consiste no 900
perguntas, respostas e explicaes includas no CISM
seo I: Panorama
1.1
Introduction .......................................................................................................
....................................................................... 14
Definition.............................................................................................................
.......................................................... 14
Objectives............................................................................................................
........................................................... 14
1.2
Tarefa e do
Conhecimento Statements ................................................................................
............................................................ 14
Tasks....................................................................................................................
........................................................... 14
Conhecimento Statements....................................................................................
............................................................... 14
Relao de tarefas para Demonstraes
Conhecimento .....................................................................................................
....... 15
Declarao de Conhecimento
Referncia Guide.................................................................................................
....................... 16
Recursos adicionais sugeridos
para Study............................................................................................................
............. 26
1.3
A autoavaliao Questions ...........................................................................................
............................................................ 27
Questions.............................................................................................................
........................................................... 27
Respostas a autoavaliao Questions.............................................................................................
............................. 28
seo dois: Contedo
1.4
Governana da Segurana da
Informao Overview .......................................................................................
.................................. 29
1.5
Segurana da Informao
eficaz Governance .............................................................................................
............................. 30
1.6
1.20 Caso
Study ..................................................................................................................
.............................................................. 70
Page 18
Edio , a TI
Governance Institute (ITGI) define governana como "o conjunto de
responsabilidades e prticas exercidas pelo conselho e executivo
gesto com o objetivo de fornecer orientao estratgica,
assegurar que os objetivos sejam atingidos, apurar que o risco
gerido adequadamente e verificar se da empresa
recursos so utilizados de forma responsvel. "
OBJETIVOS
O objectivo deste domnio garantir que a informao
gerente de segurana compreende as grandes exigncias para efetiva
governana da segurana da informao, os elementos e aes
necessrio para desenvolver uma estratgia de segurana da informao e um
plano de
ao para implement-lo.
Uma extenso da definio de governana incluir o
"Estrutura atravs da qual os objectivos da empresa so
definido, e os meios para alcanar esses objetivos e monitoramento
desempenho so fixados ", tal como descrito pela Organizao
para a Cooperao e Desenvolvimento Econmico (OCDE) em seu
1999 publicao "Princpios de Governana Corporativa".
Estrutura e meios incluir estratgia, polticas e sua
correspondentes normas, procedimentos e diretrizes, estratgicas
e planos operacionais; sensibilizao e formao, gesto de risco;
controles e as auditorias e outras atividades de garantia.
O CISM
KS1.4
O conhecimento dos conceitos fundamentais da governana
e como eles se relacionam com a segurana da informao
KS1.5
Conhecimento dos mtodos para integrar a segurana da informao
governana em governana corporativa
KS1.6
Conhecimento de normas internacionalmente reconhecidas,
frameworks e melhores prticas relacionadas informao
governana de segurana e estratgia de desenvolvimento
KS1.7
Conhecimento de mtodos para desenvolver a segurana da informao
polticas
KS1.8
Conhecimento de mtodos para desenvolver casos de negcios
KS1.9
Conhecimento de planejamento estratgico e oramentrio
mtodos de relatrios
KS1.10 conhecimento das influncias internas e externas para
da organizao (por exemplo, tecnologia, negcios
meio ambiente, a tolerncia ao risco, localizao geogrfica, legal
e requisitos regulamentares) e como elas impactam o
estratgia de segurana da informao
KS1.11 Conhecimento de mtodos para obter o compromisso de
alta administrao e apoio de outras partes interessadas
para a segurana da informao
Conhecimento KS1.12 de funes de gerenciamento de segurana da
informao
e responsabilidades
KS1.13 Conhecimento de estruturas e linhas de organizao
autoridade
KS1.14 Conhecimento dos mtodos para estabelecer novo, ou utilizar
canais existentes, elaborao de relatrios e de comunicao
em toda a organizao
KS1.15 Conhecimento dos mtodos para selecionar, implementar e
interpretar mtricas (por exemplo, os principais indicadores de metas
[KGIs], indicadores chave de desempenho [KPIs], o risco de chave
indicadores [KRIs])
relao de tarefa para declaraes conhecimento
As demonstraes de tarefas so o que o candidato CISM esperado
para saber como realizar. As demonstraes de conhecimento delinear
cada uma das reas em que o candidato deve ter um CISM
bom entendimento, a fim de executar as tarefas. A tarefa e
declaraes de conhecimento so mapeados em exposio 1.1 na medida em
que
17
ISACA. Todos os direitos reservados.
Conhecimento KS1.1 de mtodos para desenvolver uma estratgia de
segurana da informao
Explicao
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
Estratgia o plano de ao para atingir os objectivos definidos, que resultam
nos resultados desejados, utilizando os recursos disponveis no mbito do
actual
estratgia constraints.A para alcanar os resultados definidos para a
informao
programa de segurana necessrio para se desenvolver, uma segurana
eficaz maduro
estratgia programa.A ir gui-requisitos de governana, polticas e
desenvolvimento de padres. Ele tambm ir orientar o desenvolvimento do
controle
objetivos e as mtricas necessrias para uma gesto eficaz. Em ltima anlise,
a estratgia servir de base para um roteiro para a sua prpria implementao,
Para ser eficaz, a estratgia deve considerar uma variedade de fatores,
incluindo
os recursos disponveis, bem como as restries. Recursos incluem
pessoas, processos, tecnologias e arquiteturas. Restries que devem ser
consideradas incluem o tempo, custos, recursos, competncias, cultura
organizacional e
estrutura.
A justificativa para a estratgia
desenvolvimento
1.4
Governana da Segurana da Informao
Viso global
1.4.1 Importncia da Segurana da Informao
Governo
1.4.2 Resultados da Segurana da Informao
Governo
1.5
Segurana da Informao eficaz
Governo
1.5.1 Metas e objetivos de negcios
1.5.3 Atribuies e Responsabilidades das Senior
Gesto
1.11.2 Definir objectivos
Drivers para a estratgia deameaas, exposies, risco
e impactos
e segurana da informao
mapa das estradas
1.13
Estratgia de Segurana da Informao
Desenvolvimento
1.13.1 Elementos de uma Estratgia
1.14
Recursos Estratgia
1.14.19 Outros Suporte Organizacional e
Provedores de Garantia
1.15.11 Aceitao de Riscos e Tolerncia
Estratgia como uma base para
poltica ea relao com
objetivos de controle
1.17
Segurana Implementao
Governana-Exemplo
1.17.1 As amostras poltica adicional
1.19
Programa de Segurana da Informao
Objetivos
Anexo 1.2 Relao de Governana
Componentes
Page 22
segurana da informao
governo
1.8
Governana da Segurana da Informao
Mtrica
Abordagens para
risco o desenvolvimento
estratgias de mitigao
1.11.2 Definir objectivos
2.10
Avaliao de Risco
Como organizacional
objectivos definidos
requisitos para a segurana
estratgia
1.9
Estratgia de Segurana da Informao
Viso global
1.9.1
Uma viso alternativa da Estratgia
1.10
Desenvolver uma Segurana da Informao
Estratgia
1.11
Estratgia de Segurana da Informao
Objetivos
1.11.1 A Meta
1.13
Estratgia de Segurana da Informao
Desenvolvimento
1.19
Programa de Segurana da Informao
Objetivos
Como estratgia de segurana
refere-se ao controle
objetivos
1.11.2 Definir objectivos
1.11.3 O Estado Desejado
1.11.4 Objetivos de Risco
1.19
Programa de Segurana da Informao
Objetivos
Como organizacional
objetivos se traduzem em
polticas de segurana
1.14
Recursos Estratgia
Page 23
segurana eficaz
1.4.1 Importncia da Segurana da Informao
Governo
1.4.2 Resultados da Segurana da Informao
Governo
Mtodos para determinar
risco aceitvel
1.11.4 Objetivos de Risco
2.10 Avaliao de Riscos
Determinando o
eficcia
segurana da informao
governo
1.8
Governana da Segurana da Informao
Mtrica
Abordagens para
risco o desenvolvimento
estratgias de mitigao
1.11.2 Definir objectivos
2.10 Avaliao de Riscos
Como estratgia de segurana
refere-se ao controle
objetivos
1.11.2 Definir objectivos
1.11.3 O Estado Desejado
1.11.4 Objetivos de Risco
1.19 Programa de Segurana da Informao
Objetivos
A relao entre
segurana e informao
os objectivos da
organizao
1.4
Governana da Segurana da Informao
Viso global
1.4.1 Importncia da Segurana da Informao
Governo
1.4.2 Resultados da Segurana da Informao
Governo
1.5
Segurana da Informao eficaz
Governo
1.5.1 Metas e objetivos de negcios
1.5.3 Atribuies e Responsabilidades das Senior
Gesto
1.11.2 Definir objectivos
Definindo os resultados de
segurana da informao que
suporte organizacional
objetivos
1.4.2 Resultados da Segurana da Informao
Governo
1.5.4 Funes de Segurana da Informao e
Responsabilidades
Relacionar informaes
programa de segurana
objetivos para
objetivos organizacionais
1.19 Programa de Segurana da Informao
Objetivos
Pgina 25
governana corporativa
1.4
Governana da Segurana da Informao
Viso global
1.4.1
Importncia da Segurana da Informao
Governo
1.8.8 Processo de Garantia de Integrao
A possvel
conseqncias se
atividades de governana so
no integrados
1.4
Governana da Segurana da Informao
Viso global
1.4.1
Importncia da Segurana da Informao
Governo
1.5
Segurana da Informao eficaz
Governo
As atividades que o
segurana da informao
gerente pode realizar
para melhorar a integrao
1.4.2
Resultados de Segurana da Informao
Governo
1.5.1
Metas e objetivos de negcios
KS1.6 Conhecimento de normas internacionalmente reconhecidas,
frameworks e melhores prticas relacionadas informao
governana de segurana e estratgia de desenvolvimento
Explicao
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
Existem vrios padres internacionais de segurana da informao
com que o gerente de segurana da informao deve ser familiar.These
padres fornecem um conjunto consistente, testada pelo tempo de boas
prticas que podem
ser muito til ao desenvolvimento ou a tentar melhorar uma informao
programa de segurana. Normas ISO, COBIT e PCI so geralmente os mais
globalmente aceite exame standards.The CISM no vai fazer perguntas sobre
qualquer
padres regionais ou sobre o contedo especfico de normas internacionais,
um caso de negcios
1.11.3 O Estado Desejado
3.13.6 Caso de Desenvolvimento de Negcios
Os aspectos de viabilidade de
um caso de negcios
1.11.3 O Estado Desejado
1.17
Segurana Implementao
Governana-Exemplo
1.4.2
Resultados de Segurana da Informao
Governo
3.13.6 Caso de Desenvolvimento de Negcios
Destinatrios caso de negcio
e apresentao
1.11.3 O Estado Desejado
3.13.6 Caso de Desenvolvimento de Negcios
Pgina 27
tolerncia
1.5.5
Governana, Gesto de Riscos
Observncia
1.11.4 Objetivos de Risco
1.12.1 Risco Atual
Aspectos culturais da
reaes organizacionais
e respostas
1.10.1 Problemas comuns
1.11.3 O Estado Desejado
1.14.5 Pessoal
1.14.6 Estrutura Organizacional
Page 28
apoio gesto
1.5.4
Obteno de Alta Administrao
Compromisso
3.17
Segurana da Informao Comum
Desafios do Programa
Opes para a segurana
gerente na ausncia
da alta administrao
apoio
1.5.4
Obteno de Alta Administrao
Compromisso
3.4
Programa de Segurana da Informao
Viso geral do gerenciamento
Alcanar gesto
compromisso com a
segurana da informao
1.5.4
Obteno de Alta Administrao
Compromisso
1.8
Governana da Segurana da Informao
Mtrica
1.8.1
Mtricas de segurana eficazes
1.8.2
Mtricas de implementao de governana
A base para garantir
apoio gesto de
um programa de segurana
1.5.4
Obteno de Alta Administrao
Compromisso
KS1.12 conhecimento de informaes papis e as responsabilidades de
gerenciamento de segurana
Explicao
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
Funes e responsabilidades dos gestores de segurana da informao pode
variar
significativamente entre as organizaes. Gestores de segurana da
informao pode
segurana da informao
gesto
1.13.2 estratgia de recursos e
Restries-Overview
1.14.6 Estrutura Organizacional
1.15.1 requisitos legais e regulamentares
1.15.6 Custos
Pgina 29
perguntou, e como estudar para adquirir conhecimento do que vai ser testado,
ir percorrer um longo caminho para respond-las corretamente.
1-1 Uma estratgia de segurana importante para uma organizao
PRINCIPALMENTE porque fornece:
A. uma base para determinar a melhor segurana lgica
arquitetura para a organizao.
B. inteno gesto e orientao para as atividades de segurana.
C. fornece aos usurios orientaes sobre como operar com segurana em
as tarefas dirias.
D. ajuda auditores de TI garantir a conformidade.
1-2 O MAIS importante razo para se certificar que no bom
comunicao sobre a segurana em todo o
organizao :
A. para tornar a segurana mais palatvel para os trabalhadores resistentes.
B. porque as pessoas so o maior risco de segurana.
C. informar as unidades de negcios sobre a estratgia de segurana.
D. em conformidade com regulamentos que exigem todos os funcionrios so
informado sobre a segurana.
1-3 O ambiente regulatrio para a maioria das organizaes
exige uma srie de atividades relacionadas segurana. MAIS
importante que o gerente de segurana da informao:
A. confiar em conselho corporativo para aconselhar que os regulamentos
so os mais relevantes.
B. ficar atualizado com todos os regulamentos e pedido relevantes
interpretao jurdica.
C. envolver todos os departamentos afetados e tratar os regulamentos
como apenas mais um risco.
D. ignorar muitos dos regulamentos que no tm dentes.
1-4 O MAIS considerao importante no desenvolvimento de segurana
polticas que:
A. eles so baseados em um perfil de ameaa.
B. eles esto completos e nenhum detalhe deixado de fora.
C. gesto assina neles.
D. todos os empregados ler e entend-los.
1-5 O PRIMRIA objetivo de segurana na criao de bom
procedimentos :
A. para se certificar que funciona como pretendido.
B. que eles so inequvocas e cumprir as normas.
C. que ser escrito em linguagem simples e amplamente
distribudo.
D. que a conformidade pode ser monitorizada.
1-6 A atribuio de funes e responsabilidades sero MAIS
eficaz se:
A. existe apoio da alta administrao.
B. as atribuies sejam compatveis com proficincias.
perfil de risco
2. Gesto de riscos - A execuo de medidas adequadas para
mitigar riscos e reduzir os impactos potenciais sobre a informao
recursos para um nvel aceitvel, tais como:
A compreenso coletiva da ameaa da organizao,
vulnerabilidade e perfil de risco
Entendimento da exposio ao risco e as consequncias potenciais de
compromisso
conscincia das prioridades de gesto de risco com base em potencial
conseqncias
Mitigao de risco suficiente para alcanar conseqncias aceitveis
de risco residual
aceitao de risco / deferncia com base em um entendimento do
conseqncias potenciais de risco residual
3. entrega de valor - Otimizando investimentos em segurana em apoio
dos objetivos do negcio, tais como:
Um conjunto padro de prticas de segurana, ou seja, a segurana da linha
de base
requisitos seguintes prticas adequadas e suficientes
proporcional ao risco e potencial de impacto
Um esforo devidamente priorizadas e distribuda para reas com
maior impacto e benefcio do negcio
solues institucionalizadas e baseadas em padres comoditizados
Solues completas, abrangendo organizao e processo, bem
como a tecnologia baseada na compreenso da extremidade de ponta-anegcio da organizao
Uma cultura de melhoria contnua com base no entendimento
que a segurana um processo, no um evento
. 4 Gesto de recursos - Usando segurana da informao
conhecimento e infra-estrutura eficiente e eficaz para:
Certifique-se de que o conhecimento capturado e disponvel
processos e prticas de segurana de documentos
Desenvolver arquitetura (s) de segurana para definir e utilizar
recursos de infra-estrutura de forma eficiente
5. medio do desempenho - Acompanhamento e relatrios sobre
processos de segurana da informao para garantir que os objetivos so
conseguida, incluindo:
A definio, conjunto de mtricas acordados e significativa que
esto devidamente alinhados com os objetivos estratgicos e fornece
as informaes necessrias para decises eficazes no estratgico,
gesto e os nveis operacionais
Processo de medio que ajuda a identificar falhas e
fornece feedback sobre os progressos realizados resolver problemas
Verificao independente fornecida por avaliaes externas
e auditorias
cumprimento.
Pgina 35
Objetivos
Estratgia
Normas
Procedimentos
Polticas
TI
Outcomes
Requisitos
Governo
Objetivos
Estratgia
IT Security Standards
Procedimentos
Polticas de Segurana de TI
Enterprise Governance
Gesto de Riscos
Pgina 36
em toda a organizao
Recursos adequados e autoridade suficiente para implementar e
manter as atividades de segurana
Tratar a segurana da informao como uma questo de negcios crticos e
a criao de um ambiente de segurana positivo
Demonstrar a terceiros que a organizao lida com
segurana da informao de uma forma profissional
Fornecimento de superviso e controle de alto nvel
Periodicamente rever a eficcia da segurana da informao
Dar o exemplo aderindo a segurana da organizao
polticas e prticas
Em muitos casos, apoio gesto de informaes insuficientes
segurana no um problema de apatia, mas a falta de entendimento.
A segurana da informao raramente uma parte da administrao geral
especializao ou educao. Como tal, gerentes, executivos no podem
apreciar plenamente o que se espera deles, a estrutura de um
programa de gesto de segurana da informao, ou como tal
programa deve ser integrado e operado. Muitas vezes, produtivo
para coordenar oficinas para ajudar os gerentes de alto nvel em ganhar
uma compreenso mais clara dessas questes, e estabelecer expectativas
do necessrio apoio e recursos.
Em outros casos, o apoio aos programas de segurana da informao pode
ser limitado por razes financeiras ou outras. As informaes
gestor de segurana deve reconhecer essas limitaes, priorizando
e maximizar os efeitos dos recursos disponveis para alm
trabalhar com a administrao para desenvolver recursos adicionais.
Pgina 39
Rever e aconselhar
se a segurana
iniciativas atender
objetivos de negcios.
Processos de reviso
para o conhecimento
capturar e
disseminao.
Identificar crtico
processos de negcios
e garantia
prestadores de servios.
garantia direto
esforos de integrao.
CISO / informao
segurana
gesto
Desenvolver o
estratgia de segurana,
supervisionar a
programa de segurana
e iniciativas e
a ligao com negcios
proprietrios de processos para
alinhamento contnuo.
Certifique-se de que o risco
e negcios
impacto
avaliaes so
realizada.
Desenvolver risco
mitigao
estratgias.
Aplicar poltica
e regulamentar
cumprimento.
Monitore a utilizao
ea eficcia dos
recursos de segurana.
Desenvolver e
implemento
e monitorizao
mtricas se aproxima,
e direta e
monitorar a segurana
actividades.
Desenvolver mtodos
para o conhecimento
capturar e
disseminao e
desenvolver mtricas para
eficcia e
eficincia.
Articular com
outra garantia
prestadores de servios.
Certifique-se de que as lacunas
e sobreposies so
identificado e
abordadas.
Executivos de auditoria
Avaliar e
informar sobre grau de
alinhamento.
Avaliar e
informar sobre
riscos corporativos
gesto
prticas e
resultados.
Avaliar em relatrio
na eficincia.
Avaliar e reportar
na eficincia
ou recurso
gesto.
Avaliar e
eficincia relatrio
ou recurso
gesto.
Avaliar e reportar
eficcia
processos de garantia
realizada por
diferentes reas
gesto.
Fonte: ISACA, Governana de Segurana da Informao: Guia de
Informao Gerentes de Segurana , direitos 2008.All reservados. Usado com
permisso.
Pgina 41
C
T
U
R
E
E
N
A
B
L
IN
G
&
S
U
P
P
O
R
T
Pgina 42
43
ISACA. Todos os direitos reservados.
1.8.3 Mtricas de alinhamento estratgico
O alinhamento estratgico de segurana da informao em apoio
objetivos organizacionais uma meta altamente desejvel, muitas vezes difcil
a atingir. Deve ficar claro que a relao custo-eficcia de
o programa de segurana est inevitavelmente relacionada ao modo como ele
suporta
os objetivos da organizao e que custo. Sem
objetivos organizacionais como um ponto de referncia, qualquer outra
medida,
incluindo as chamadas boas prticas, pode ser um exagero, inadequada ou
extravio. A partir de uma perspectiva de negcios, adequado e suficiente
prticas proporcionais s exigncias tendem a ser mais
rentvel do que as melhores prticas. Tambm provvel que sejam
recebido por melhor gesto custo-consciente.
O melhor indicador geral de que as atividades de segurana esto em
alinhamento
com os objetivos de negcios (ou organizacionais) o desenvolvimento
de uma estratgia de segurana que define os objetivos de segurana nos
negcios
termos e assegura que os objetivos esto diretamente articulada a partir de
planejamento implementao de polticas, normas, procedimentos,
processos e tecnologia. A prova de fogo a ordem inversa
avaliao de um controlo especfico de ser capaz de ser rastreado para uma
requisito de negcio especfico. Qualquer controle que no pode ser rastreado
diretamente de volta a um requisito de negcio especfico suspeito e
devem ser analisados para a relevncia e possvel eliminao.
Indicadores de alinhamento podem incluir:
A medida em que o programa de segurana permite que comprovadamente
atividades especficas de negcios
As actividades das empresas que no tenham sido realizadas ou atrasados
por causa da capacidade insuficiente para gerir o risco
Uma organizao de segurana, que sensvel ao negcio definido
requisitos com base em pesquisas empresrio
objetivos organizacionais e de segurana definidos e
claramente entendido por todos os envolvidos na segurana e afins
atividades de garantia medidos por testes de conscincia
A percentagem das actividades do programa de segurana mapeadas
aos objetivos organizacionais e validado pelo executivo
gesto
Um comit gestor de segurana composto por executivos-chave com
uma carta para assegurar o alinhamento contnuo das actividades de segurana
e
estratgia de negcios
testes (DR)
1.8.8 garantia de processo de integrao
(Convergncia)
As organizaes devem considerar uma abordagem informao
governana de segurana que inclui um esforo para integrar a garantia
funes. Isso servir para aumentar a eficcia e segurana
eficincia, reduzindo esforos duplicados e lacunas na proteo.
Ele vai ajudar a garantir que os processos de operar da forma pretendida de
ponta a
acabar, minimizando o risco oculto. KGIs podem incluir:
No h lacunas de informao de proteo de ativos
A eliminao de sobreposies de segurana desnecessrios
A integrao das atividades de garantia
papis e responsabilidades bem definidas
prestadores de Garantia de compreender a relao com outros
funes de garantia
Todas as funes de garantia sejam identificados e considerados na
a estratgia
No que diz respeito gesto do risco inerente a uma empresa,
Booz Allen Hamilton (em sua publicao intitulada Convergncia de
Organizaes de segurana da empresa ) sugere que:
No passado, a gesto do risco inerente
um negcio uma funo incorporada no
papis individuais do "C Suite." tradicional
abordagem foi a de tratar os riscos individuais separadamente
e atribuir a responsabilidade a um indivduo ou
pequena equipe. Gerenciando um tipo singular de risco
tornou-se um trabalho distinto, e desempenho que
trabalho bem significava focar exclusivamente em que
uma rea particular. o problema com esta
abordagem confinamos que ele no s ignora
a interdependncia dos muitos riscos de negcios, mas
tambm suboptimizes o financiamento de risco total para
uma empresa.
quebrando chamins e abordar o
suboptimizing de investimentos requer uma nova forma
de pensar sobre o problema.
Esta nova forma de pensar demonstrado pelo BMIS discutido na seo
1.5.5 rene os vrios elementos e as partes interessadas no
problema comeou a trabalhar em estreita colaborao. Um dos principais
objetivos deste
atividade entender como as organizaes podem reunir
diversos elementos e lev-los a orientar em um objetivo comum.
Estratgia de Segurana 1.9 Informaes
Viso global
Implemento
Objetivos de segurana
Monitorar / Metrics
Relatrios
Anlise de Tendncias
Pgina 50
superviso de governana.
Anexo 1.9 tem uma apresentao grfica dos controles e segurana
componentes de governana.
Capability Maturity Model
O estado desejado de segurana tambm pode ser definida como a obteno
um nvel especfico no Capability Maturity Model (CMM) como
mostrados na exposio 1,10 . constituda de classificao de cada zona
definida de
segurana em uma escala de 0 a 5, com base na maturidade de processos.
Os nveis de maturidade so descritos como:
0: Inexistente-No reconhecimento pela organizao da necessidade de
segurana
1:
Ad hoc
Risco considerada em um
ad hoc
base no-formais
processos
2: compreenso Repetitivo mas intuitivo-emergentes do risco e
necessidade de segurana
3: A poltica de gesto de risco definidos processo de Companywide /
sensibilizao para a segurana
4: norma de avaliao mensurvel de risco gerenciado e
procedimentos, funes e responsabilidades atribudas, polticas e
normas em vigor
5: processos otimizados-organizationwide implementadas,
monitorados e gerenciados
Balanced Scorecard
De acordo com o Instituto Scorecard Equilibrado:
O Balanced Scorecard um sistema de gesto
(No s um sistema de medio) que permite
organizaes para esclarecer sua viso e estratgia,
e traduzi-los em ao. Ele fornece um feedback
em torno de ambos os processos internos do negcio
e resultados externos, a fim de continuamente
melhorar o desempenho estratgico e resultados. Quando
totalmente implantado, o transforms balanced scorecard
planejamento estratgico de um exerccio acadmico em
o centro nervoso de uma empresa.
O balanced scorecard, como mostra a exposio 1.11 , usa quatro
perspectivas, desenvolve mtricas, coleta dados e analisa os dados
relativamente a cada uma das perspectivas:
Aprendizagem e crescimento
processos de negcios
Cliente
Financeiro
Abordagens de arquitetura
Enterprise Information Security Architecture (EISA) um subconjunto
de arquitetura corporativa. Uma estrutura de arquitetura pode
ser descrito como uma estrutura fundamental, ou conjunto de estruturas,
o qual pode ser utilizado para o desenvolvimento de uma ampla gama de
diferentes
arquitecturas, incluindo processos de negcios arquiteturapor vezes referido como a arquitectura contextual assim como
o mais tradicional conceitual, lgica, fsica, funcional e
arquiteturas operacionais.
H uma srie de metodologias que se desenvolveram, incluindo
modelos de processos, estruturas e ad hoc abordagens favorecidas pela
algumas consultorias. Esta evoluo ocorreu como se tornou evidente
que uma perspectiva arquitetnica limitado a TI era inadequada
para tratar de design e desenvolvimento de negcios de segurana
requisitos. Uma srie de abordagens de arquitetura fornecem agora
ligaes e desenho do lado do negcio de proteo de informaes.
Abordagens arquitetnicas que so inclusive de processos de negcios
que pode ser apropriado para definir o "estado desejado" de segurana
incluem (mas no esto necessariamente limitados a) os modelos de
enquadramento
tais como: The Open Group Architecture Framework (TOGAF), o
Zachman Enterprise Architecture Framework e Extended
Enterprise Architecture Framework (EA2F). Estes modelos podem
servem para definir a maior parte ou todo o "estado desejado" de segurana,
desde que sejam devidamente utilizados para refletir e implementar o
estratgia de segurana organizacional. Veja a seo 1.14.2.
Pgina 55
Controles
Anexo 1.10-Capability Maturity Model
Fonte: ISACA, Governana de Segurana da Informao: Guia de
Informao Gerentes de Segurana , direitos 2008.All reservados. Usado com
permisso.
Objetivos
Medidas
T
ETAS
Iniciativas
Objetivos
Medidas
T
ETAS
Iniciativas
Objetivos
Medidas
T
ETAS
Iniciativas
Objetivos
Medidas
T
ETAS
Iniciativas
Cliente
Financeiro
Viso
e
Estratgia
Aprendizagem e
Crescimento
Negcios Interna
Processos
"Para alcanar o nosso
viso, como
deveramos
parecem nossa
clientes? "
"Para ter sucesso
financeiramente, como
deveramos
parecem nossa
acionistas? "
"Para satisfazer nossos
acionistas
e os clientes,
que negcio
processos devem
ns excel? "
"Para alcanar o nosso
viso, como ser
sustentamos nossa
capacidade de
e mudar
melhorar? "
Anexo Scorecard 1,11 Balanceada
Fonte: Reproduzido com permisso do Balanced Scorecard Institute e
Pavel Arveson.
Pgina 56
Segurana
Fsica e
Ambiental
Segurana
Comunicaes
e Operaes
Gesto
Informaes
Sistemas
Aquisio,
Desenvolvimento e
Manuteno
Controle de Acesso
Observncia
Custo
Nvel de controle
Optimal
Custo da
perdas
Custo da
controles
Total de riscocustos relacionados
Pgina 57
Segurana ambiental
Restries
Existem tambm uma srie de limitaes que devem ser considerados
no desenvolvimento de uma estratgia de segurana e plano de ao
subseqente.
Restries tipicamente incluem:
Legal Estatuto Social e os requisitos regulamentares
Fsica -capacidade, espao, as restries ambientais
Pgina 59
Dados Corporativos
Modelo
Garantia de
Operacional
Continuidade
Dados detalhados
Estruturas
Negcio
Risco
Modelo
Negcio
Processo
Modelo
Negcio
Organizao
e relacionamentos
Controle
Objetivos
Segurana
Polticas
Regras de Segurana,
Prticas e
Procedimentos
Operacional
Risco
Gesto
Segurana
Normas
Estratgias de segurana
e Arquitetnico
Camadas
Segurana
Servios
Segurana
Mecanismos
Servio de Segurana
Gesto
e Suporte
Segurana
Produtos
e Ferramentas
Entidade de Segurana
Modelo e
Confiana-Quadro
Entidade esquema
e Privilege
Perfis
Usurios,
Aplicaes e
Interface do Usurio
Aplicao e
Gerenciamento de usurios
e Suporte
Identidades,
Funes, Aes
e ACLs
Negcio
Geografia
Segurana
Domnio
Modelo
Domnio de Segurana
Definies e
Associaes
Plataforma
e Rede
Infra-estrutura
Segurana de
Sites, Redes
e Plataformas
Processos,
Ns, Endereos
e Protocolos
Negcio
Tempo
Dependncias
Relacionados Segurana
Vidas e
Prazos
Segurana
Processamento
Ciclo
Controle
Estrutura
Execuo
Segurana
Operaes
Horrio
Segurana Etapa
Cronometragem
e Sequenciamento
Pgina 61
opera um mtodo
Funcionamento eficaz do
Garante Capacidade Arquitetura
realizao da Viso do Negcio
Necessidade de negcio que contribui para o
mtodo, a identificao de problemas
para ser endereado
O mtodo refina
compreenso da necessidade de negcio
O mtodo produz contedo para ser
armazenado no repositrio, classificado
de acordo com a Enterprise Continuum
A Enterprise Continuum e
Repositrio informar o negcio
do estado atual
TOGAF Capability-Quadro
TOGAF continuum corporativo e Ferramentas
Capacidade de Arquitetura
Quadro
(Parte VII)
Arquitetura
Mtodo de Desenvolvimento
(Parte III)
Arquitetura
Contedo
Quadro
(Parte IV)
Diretrizes e ADM
Tcnicas (Parte III)
Empresa Continuum
e Ferramentas
(Parte V)
TOGAF Referncia
Modelos (parte VI)
Negcio
Viso e
Drivers
Negcio
Capacidades
TOGAF ADM e
Content-Quadro
Pgina 62
para criar uma falsa sensao de confiana. Por exemplo, uma empresa
que depende unicamente de uma firewall ainda pode ser sujeita a numerosas
metodologias de ataque. Uma outra defesa pode ser a criao
atravs da educao e conscientizao de uma "firewall humana", o que
pode constituir uma camada crtica de defesa. Segmentar a rede
pode constituir uma outra camada defensiva.
1.14.4 tecnologias
As ltimas dcadas tm visto o desenvolvimento de numerosas
tecnologias de segurana para lidar com as crescentes ameaas
recursos de informao. A tecnologia um dos pilares da
uma estratgia de segurana eficaz. O gerente de segurana da informao
deve estar familiarizado com a forma como estas tecnologias podem servir
como controles
para alcanar o estado de segurana desejado. Tecnologia, no entanto,
no pode compensar gesto, cultural ou operacional
deficincias, eo gerente de segurana da informao advertido
para no colocar confiana excessiva sobre esses
mecanismos. Como exposio
1.16 demonstra, para alcanar defesas eficazes contra a segurana
incidentes, uma combinao de polticas, normas e procedimentos
deve vir junto com a tecnologia.
H um nmero de mecanismos de segurana com tecnologias
que pode desempenhar um papel crtico no sucesso de uma organizao de
estratgia de segurana. Estas tecnologias so discutidos em mais detalhe
no captulo 3 e no glossrio. Dado o contnuo e rpido
desenvolvimento da tecnologia nesta rea, a informao prudente
gerente de segurana ir utilizar os recursos disponveis para se manter no
atual
os ltimos desenvolvimentos.
1.14.5 pessoal
Segurana pessoal uma rea importante da segurana da informao
gerente deve considerar como um meio de preveno de garantir um
organizao. Uma vez que os compromissos mais caros e prejudiciais
so geralmente o resultado de atividades privilegiadas, intencional
ou acidental, a primeira linha de defesa tentar assegurar a
confiabilidade e integridade do pessoal de novos e existentes.
Antecedentes limitados podem fornecer indicadores de negativo
caractersticas, mas a extenso dessas verificaes pode ser restringida
por privacidade e outras leis, particularmente em pases da Unio Europeia.
Alm disso, a extenso ea natureza de investigaes de fundo
deve ser relevante e proporcional sensibilidade e
criticidade das exigncias do cargo ocupado. Uma extensa
investigao de uma recepcionista fundo pode ser considerado um
intruso injustificada de privacidade, por exemplo. Regulamentos de
privacidade
questes locais melhor. Muitas vezes, eles podem responder mais rapidamente
s
pedidos de alterao de direitos de acesso ou incidentes de segurana.
No entanto, tambm h desvantagens. Por exemplo, a qualidade
do servio pode variar conforme o local, com base no nvel de formao
o pessoal local possui e do grau em que eles podem ser
oneradas com outras obrigaes no relacionados.
Anexo 1.16-Defesa em Profundidade por Funo
Defesas contra
Polticas comprometimento do sistema, normas, procedimentos,
Tecnologia
Preveno
Autenticao
Autorizao
Criptografia
Firewalls
Rotulagem de dados / manuseio / reteno
Gesto
Segurana fsica
Preveno de intruso
A verificao de vrus
Segurana pessoal
Sensibilizao e formao
Conteno
Autorizao
A privacidade dos dados
Domnios Firewalls / segurana
Segmentao da rede
Segurana fsica
Deteco / notificao
Monitorao
Medies / mtricas
Auditoria / logging
Honeypots
Deteco de intruso
A deteco de vrus
Reao
Resposta a incidentes
Mudana de poltica / procedimento
Mecanismos de segurana adicionais
Novos melhores controles /
Coleta de provas /
acompanhamento de eventos
Auditoria / logging
Gesto / monitoramento
O no-repdio
Forensics
Recuperao / restaurao
Backups / restaurao
Failover / locais remotos
Planejamento de recuperao de continuidade de negcios / desastre
Fonte: Krag Brotby
Pgina 64
j disponvel provvel que seja uma opo mais eficaz em termos de custos,
mas
s vezes, as habilidades podem precisar ser desenvolvidos ou as atividades
necessrias
terceirizado. Um inventrio de competncias importante para determinar a
recursos disponveis no desenvolvimento de uma estratgia de
segurana. Proficincia
testes podem ser teis para determinar se as habilidades necessrias so
disponvel ou pode ser obtido por meio de treinamento.
1.14.9 conscientizao e educao
Formao, educao e conscientizao so vitais na estratgia global
desde que a segurana muitas vezes mais fraco ao nvel do utilizador final.
aqui,
tambm, que se deve considerar a necessidade para o desenvolvimento
de mtodos e processos que permitem que as polticas, normas
e procedimentos que devem ser seguidos com mais facilidade, implementados
e
monitorizados. Um programa de conscientizao de segurana recorrentes
destinado a final
usurios refora a importncia da segurana da informao e agora
exigido por lei, em algumas jurisdies, para uma srie de setores.
Na maioria dos organismos, as evidncias indicam que a maioria dos
pessoal no esto cientes de polticas e normas de segurana, mesmo
onde eles no existem. Programas de sensibilizao e de formao pode
fornecer
para o reconhecimento generalizado de que a segurana importante
para a organizao. Como a segurana depende muito de indivduo
conformidade, importante que uma conscincia de segurana robusta
programa estar no lugar e um elemento que deve ser considerado em
desenvolvimento da estratgia.
Os estudos indicaram que a melhoria da segurana e da conscincia
treinamento tem, em muitos casos, resultou no melhor custo-benefcio
melhoria na segurana geral. Um estudo realizado por Phillip
Fascas, trabalhando como consultor para a Litton Industries
Militar dos EUA na Europa, demonstrou o valor da segurana
conscincia, como mostra a exposio 1,17 .
De acordo com o estudo realizado por Sparks:
baseada na experincia direta com o Exrcito dos EUA
Computer Emergency Response Team Regional
(RCERt) na Europa 1994-2002, os seres humanos foram
o elo mais fraco na cadeia de segurana. Segurana
tecnologia foi adquirido e implementado, mas
prova indicaram que o risco de informaes
continuou sendo um problema humano. Reduo do risco
foi alcanada somente aps o RCERt iniciou um
imagem ", e devem ser feitos esforos para desenvolver processos para
destilar
dados tcnicos em informaes necessrias para gerenciar de forma eficaz.
Melhoramentos no controlo global pode ser conseguido por cuidadosa
anlise de mtricas disponveis para determinar a sua relevncia. Para
exemplo, pode ser interessante saber quantos pacotes foram
caram os firewalls, mas isso lana pouca luz sobre o risco para o
organizao ou possveis impactos. Pode ser a informao
Departamento de TI acha til, mas no tem nenhum valor informao
gerenciamento de segurana. Por outro lado, conhecendo a quantidade de
tempo que leva para recuperar servios crticos aps um incidente grave
susceptvel de ser extremamente til para todas as partes.
Atividades Mtricas de projeto e monitoramento deve levar em
considerao:
O que importante para gerenciar as operaes de segurana da informao
requisitos de gerenciamento de segurana de TI
As necessidades dos proprietrios de processos de negcios
O que a alta administrao quer saber
As comunicaes com cada um dos crculos eleitorais pode ser til
na determinao dos tipos de relatrios de segurana que iria encontrar
til. Processos de comunicao pode, ento, ser concebido que fornecem
cada grupo com as informaes de segurana que necessitam para fazer
informadas decises relacionadas segurana.
1.17 Implementando a segurana
governana exemplo
A seo a seguir demonstra uma abordagem para
implementao de governana de segurana utilizando o CMM para definir
objectivos (KGIs), para determinar uma estratgia, e como uma mtrica para
progresso. Atingir CMM nvel 4 uma tpica (embora difcil)
meta organizacional e pode ser expresso como um estado desejado.
A lista a seguir, com base no COBIT, no pode delinear tudo
atributos e caractersticas do estado desejado de informao
segurana e elementos adicionais podem precisar de ser adicionado. No
entanto,
eles no fornecem os fundamentos necessrios e pode fornecer uma adequada
descrio do estado de segurana desejado para a maioria das organizaes,
como se segue:
A avaliao do risco um procedimento e excees norma
seguindo o procedimento seria notado pelo gerenciamento de TI.
provvel que a gesto de riscos de TI uma gesto que se define
funcionar com responsabilidade nvel superior. A gerncia snior
e gesto de TI determinaram os nveis de risco de que o
organizao vai tolerar e ter medidas-padro para
risco / retorno rcios.
Responsabilidades de segurana da informao so claramente atribudas,
para melhorias.
11. Custo-benefcio, apoio implementao de
medidas de segurana, so cada vez mais utilizados.
12. Processos de segurana da informao so coordenados com a
funo geral de segurana organizao.
13. Relatrios de segurana da informao est ligada ao negcio
objetivos.
14. Responsabilidades e padres de servio contnuo so
aplicadas.
15. Prticas de redundncia do sistema, incluindo o uso de alta
componentes de disponibilidade, so constantemente utilizados.
Dependendo da estrutura da organizao, cada significativa
rea ou processo da organizao precisa ser avaliada
separadamente. Por exemplo, contabilidade, recursos humanos, operaes, TI,
negcios
unidades ou controladas precisa ser avaliado para determinar se
o estado actual satisfaz os requisitos do 15 (ou mais)
elementos enumerados anteriormente.
Na maioria dos organismos, os resultados tpicos para cada um dos 15
definida
caractersticas variam em todos os nveis de maturidade de 1 a 4.
As polticas precisam ser revistos para determinar se eles abordam
cada um dos elementos. Na medida em que isso no acontecer, o seguinte
seo fornece sugestes para polticas que abordam cada um dos
requisitos de CMM 4.
Um dos objectivos que deve ser declarado : "para alcanar consistente
nveis de maturidade em domnios especficos de segurana "estar atento
da noo de que "a segurana apenas to bom quanto o elo mais fraco."
Por exemplo, o nvel de todos os processos crticos maturidade deve ser
o mesmo.
A seleo de um determinado departamento, unidade de negcios ou rea do
organizao, o nvel da primeira declarao na maturidade
4 CMM pode ser considerada.
A primeira afirmao :
"A avaliao de risco um padro
procedimento e excees a seguir o procedimento seria
ser notado por gesto de segurana ".
Se a organizao no a este nvel de maturidade, ento o
abordagem para alcanar este elemento deve ser considerado. Vrios
requisitos esto implcitos nesta declarao. Uma delas que o risco
avaliaes so procedimentos padro, formais realizadas como resultado
de mudanas em sistemas, processos, ameaas ou vulnerabilidades e sobre
uma base regular. Tambm est implcito que essas avaliaes so baseadas
sobre boas prticas e so realizadas em processos inteiros, se
fsico ou eletrnico.
Respostas a auto-avaliao
Questions.............................................................................................................
............. 86
seo dois: Contedo
2.4
Gesto de
Riscos Overview ................................................................................................
................................................... 89
2,5
Gesto de
Riscos Strategy ..................................................................................................
................................................... 90
2.6
Efetivo de Risco de Segurana da Informao
Management ......................................................................................................
......... 91
2,7
Gesto de Riscos de Segurana da Informao
Concepts .............................................................................................................
. 93
2.8
Risco Implementao
Management ......................................................................................................
.................................... 94
2,9
Avaliao de Risco e Anlise
Methodologies ....................................................................................................
................... 97
2.10 Risco
Assessment .........................................................................................................
.............................................................. 97
2.11 Informaes de Recursos
Valuation ............................................................................................................
............................... 111
2.12 Tempo de recuperao
Objectives ..........................................................................................................
........................................... 117
2.13 Integrao com Ciclo de Vida
Processes ............................................................................................................
..................... 119
2.14 Controle de Segurana
Baselines .............................................................................................................
....................................... 120
T2.8
Monitorar o risco existente para assegurar que as mudanas so
identificados e geridos de forma adequada.
T2.9
Relatrio de descumprimento e outras mudanas na informao
corre o risco de gesto adequada para ajudar no risco
processo de tomada de decises de gesto.
Demonstraes conhecimento
O candidato CISM deve ter uma boa compreenso de cada
das reas delimitadas pelas declaraes do conhecimento. Estes
declaraes so a base para o exame.
H 19 declaraes de conhecimento dentro do risco da informao
gesto e domnio de cumprimento:
KS2.1 Conhecimento dos mtodos para estabelecer um ativo de informao
modelo de classificao de acordo com os objetivos de negcios
KS2.2 Conhecimento dos mtodos utilizados para atribuir as
responsabilidades
para e de propriedade dos ativos de informao e risco
KS2.3 Conhecimento dos mtodos para avaliar o impacto de efeitos adversos
eventos sobre o negcio
KS2.4 conhecimento de informaes de ativos metodologias de avaliao
KS2.5 Conhecimento de legal, regulamentar, organizacional e outros
requisitos relacionados segurana da informao
KS2.6 Conhecimento de fontes confiveis, confiveis e oportunas de
informaes sobre segurana da informao emergente
ameaas e vulnerabilidades
KS2.7 Conhecimento de eventos que podem exigir reavaliaes de risco
e alteraes a elementos do programa de segurana da informao
KS2.8 conhecimento das ameaas, vulnerabilidades e de informao
exposies e sua natureza evolutiva
Conhecimento KS2.9 de metodologias de avaliao de risco e anlise
KS2.10 Conhecimento dos mtodos utilizados para priorizar riscos
Conhecimento KS2.11 dos requisitos de informao de risco (por exemplo,
freqncia, audincia, componentes)
KS2.12 Conhecimento dos mtodos usados para monitorar risco
Conhecimento KS2.13 de estratgias e mtodos de tratamento de risco para
aplic-los
KS2.14 Conhecimento de modelagem de linha de base e seu controle
relao s avaliaes com base no risco
KS2.15 Conhecimento de controles de segurana da informao e
contramedidas e os mtodos para analisar a sua
eficcia e eficincia
KS2.16 Conhecimento de tcnicas de anlise de gap em relao com
segurana da informao
Conhecimento KS2.17 de tcnicas para a integrao de risco
2,5
Estratgia de Gesto de Riscos
2.10.12 requisitos legais e regulamentares
2.11.3 Classificao de Informao de Ativos
Cumprimento Operacional
risco
2.10.7 Risco
Legal e regulamentar
consideraes para ativos
classificao
2.10.12 requisitos legais e regulamentares
2.11.3 Classificao de Informao de Ativos
KS2.6 Conhecimento de fontes confiveis, confiveis e oportunas de
informaes sobre a segurana da informao emergente
ameaas e vulnerabilidades
Explicao
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
Muitas fontes de informao sobre potenciais ameaas e vulnerabilidades
esto disponveis para os recursos manager.These de segurana da informao
devem ser monitorizados regularmente para fornecer avisos oportunos de
novo
vulnerabilidades em sistemas e software e novos surtos de malware
, bem como outras actividades criminosas, tais como phishing e
pharming. Alguns
dessas organizaes incluem CERT e Australian Computer Emergency
Response Team (AusCERT), Rede Storm Center, do SANS, Computerworld,
TechRepublic e outros, incluindo fornecedores de segurana e software e
fabricantes de hardware.
Relatrios de risco externo
fontes
2.8.7
Outros Suporte Organizacional
Pgina 83
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
Muitas circunstncias pode criar a necessidade de reavaliar o risco, como
novo
ameaas ou vulnerabilidades recm-descobertas, mudanas em arquiteturas ou
requisitos de negcio, novas exigncias legais ou regulamentares, ou de
segurana
incidentes provam que as avaliaes de risco, antes eram imprecisos.
Linhas de base de segurana estabelecidos pelas normas apropriadas so a
segurana mnima
requisitos para os diferentes domnios de confiana em todo o
enterprise.These
as linhas de base pode ter de mudar para uma variedade de razes, tais como
os impactos
de incidentes crescente inaceitavelmente elevado ou o cenrio de ameaas
mudar
e posando risco novo ou superior. Elas tambm podem ter de mudar como
resultado de novas vulnerabilidades introduzidas nos sistemas por causa de
mudanas
para a organizao, tais como fuses ou aquisies. As alteraes podem
tambm
ser exigida como resultado de novas exigncias contratuais ou regulamentares
exigindo melhores nveis de segurana, como o que ocorreu com a
imposio da Indstria de Cartes de Pagamento (PCI) standards.These e
outros
acontecimentos que mudam a equao ameaa, a vulnerabilidade, a exposio
ou o impacto ser
requerer a reavaliao do risco para determinar o tratamento adequado e
requisitos de mitigao.
Fins de criao
linhas de base de segurana
2.10.15 Reavaliao Risco de Eventos
Afetando linhas de base de segurana
2.14
As linhas de base de controle de segurana
3.15.11 Controles de linha de base
Mtodos de determinao
linhas de base de segurana
3.15.11 Controles de linha de base
Avaliar a adequao de
linhas de base de segurana
2.10.15 Reavaliao Risco de Eventos
Afetando linhas de base de segurana
2.14
As linhas de base de controle de segurana
2.4
Viso geral de Gesto de Risco
2.6.2
Papis e Responsabilidades
Abordagens para avaliar
e anlise de risco
2.8.1
Processo de Gesto de Riscos
2.8.2
A definio de uma Gesto de Riscos
Quadro
2,9
Avaliao de Risco e Anlise
Metodologias
2.10
Avaliao de Risco
2.10.1 NIST Risk Assessment Methodology
2.10.2 agregado e Cascading Risco
2.10.3 Outras abordagens de avaliao de risco
Os componentes de risco
avaliao
2.8.2
A definio de uma Gesto de Riscos
Quadro
2.10.2 agregado e Cascading Risco
Qualitativa e
avaliaes quantitativas
e anlise
2.10.8 Anlise de risco relevante
KS2.10 Conhecimento dos mtodos utilizados para priorizar riscos
Explicao
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
Possvel risco virtualmente unlimited.As consequncia, essencial para o
informao gerente de segurana para desenvolver processos para classificar e
priorizar riscos
com base em vrios factors.These incluir
proximidade e natureza da ameaa
medida em que existe a vulnerabilidade
exposio da organizao ao risco
vias de explorao potencial
impacto potencial, se a ameaa se materializa
Frequncia de uma vulnerabilidade pode ser explorada
grau de risco agregado
potencial de risco em cascata
A avaliao de riscos e
postura de segurana
2.8.1
Processo de Gesto de Riscos
2,9
Avaliao de Risco e Anlise
Metodologias
2.10
Avaliao de Risco
2.10.8 Anlise de risco relevante
2.15.1 Monitoramento de Risco
Determinar risco atual
postura
2.6.1
O desenvolvimento de uma Gesto de Riscos
Programa
2.6.2
Papis e Responsabilidades
2.15.2 relatar mudanas significativas na
Risco
Qual deve ser
monitorado
2.15.1 Monitoramento de Risco
3.16.2 Abordagens Monitoramento
Monitoramento de controles-chave
3.16
Segurana Mtricas do Programa e
Monitorao
Fsica e tcnico
monitorao
3.16
Segurana Mtricas do Programa e
Monitorao
Pgina 86
Mitigao de impacto
2.10.10 Risco Opes de Tratamento
2.10.11 Impacto
Contramedidas Threat 2.10.5 Ameaas
2.10.10 Risco Opes de Tratamento
Vulnerabilidade
gesto
2.10.6 Vulnerabilidades
2.10.10 Risco Opes de Tratamento
KS2.14 Conhecimento de modelagem de base de controle e sua relao com
avaliaes baseadas no risco
Explicao
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
Linhas de base de controle definir o mnimo de segurana para sistemas,
processos e
pessoas. As linhas de base deve ser baseada em classificaes de segurana
com maior ou
linhas de base mais seguras definidas para os recursos de maior criticidade ou
sensibilidade
porque eles representam o risco de maior impacto negativo sobre a
organizao.
Questes de gesto de risco
relacionada com os ciclos de vida
2.10.3 Outras abordagens de avaliao de risco
2.13
Integrao com os processos do ciclo de vida
2.13.1 Gesto de Risco para o Sistema de TI
Ciclo de Vida de Desenvolvimento
Gesto de Risco baseada no ciclo 2.13.2 Vida
Princpios e Prticas
2.14
As linhas de base de controle de segurana
3.15.11 Controles de linha de base
Ciclos de vida Informaes
2.11.3 Classificao de Informao de Ativos
A gesto da mudana
e os ciclos de vida
2.13
Integrao com os processos do ciclo de vida
2.13.1 Gesto de Risco para o Sistema de TI
Ciclo de Vida de Desenvolvimento
Gesto de Risco baseada no ciclo 2.13.2 Vida
Princpios e Prticas
Pgina 87
Seo I: Panorama
84
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
KS2.17 Conhecimento de tcnicas para integrar a gesto de riscos em
negcios e processos de TI
Explicao
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
A gesto de riscos um requisito fundamental em todos os negcios e TI
processos. Risco muda significativamente durante o ciclo de vida dos recursos
e
como processos de negcios e procedimentos de mudana. Por exemplo, o
risco associado
com a viabilidade e as fases de concepo de um projeto muito diferente do
risco que ocorre durante as fases de implementao e implantao. Alguns
dos processos primrios para expor e gerenciar riscos incluem a mudana e
gerenciamento de liberao, garantia de qualidade (QA) e testes de aceitao
do usurio
(UAT). O gerente de segurana da informao deve garantir que tais
processos
existem para que o risco identificado e gerenciado durante o ciclo de vida de
vrios
estgios de tecnologias, ativos fsicos e processos.
Alm disso, necessrio assegurar que os processos, procedimentos e
prticas em toda a organizao so avaliados para o risco. Com base nesta
avaliao, o gerente de segurana da informao tem uma base para
determinar
o meio adequado para gerenciar o risco atravs da implementao de vrios
Opes para o tratamento de risco.
Questes de gesto de risco
relacionada com os ciclos de vida
2.10.3 Outras abordagens de avaliao de risco
2.13
Integrao com os processos do ciclo de vida
2.13.1 Gesto de Risco para o Sistema de TI
Ciclo de Vida de Desenvolvimento
Gesto de Risco baseada no ciclo 2.13.2 Vida
Princpios e Prticas
Ciclos de vida Informaes
Gesto de Risco baseada no ciclo 2.13.2 Vida
Princpios e Prticas
A gesto da mudana
e os ciclos de vida
2.13
2.10.11 Impacto
2.10.14 Custos e Benefcios
2.14
As linhas de base de controle de segurana
3.15.11 Controles de linha de base
Pgina 89
Edio , Auerbach
Publicaes, EUA, 2006
Instituto Nacional de Padres e Tecnologia (NIST), Risco
Guia de Gerenciamento para Sistemas de Informao Tecnologia,
SP 80030, EUA, 2002, www.csrc.nist.gov/publications/
nistpubs/800-30/sp800-30.pdf
Peltier, Thomas R.; Anlise de Riscos de Segurana da Informao,
3
rd
Edio , Auerbach Publications, EUA, 2010
Van Grembergen, Wim; Steven De Haes, a governana de TI
Prticas de domnio e Competncias: Medio e
Demonstrando o valor da TI , IT Governance Institute, EUA,
2005, www.isaca.org/Knowledge-Center/Research/Documents/
MeasurandDemoValueofIT.pdf
2.3 Questes de auto-avaliao
Perguntas
Questes do exame CISM so desenvolvidos com a inteno de medir
e teste de conhecimento prtico em segurana da informao
gesto. Todas as questes so de mltipla escolha e que se destinam
para uma melhor resposta. Cada pergunta CISM tem uma haste (pergunta)
e quatro opes (opes de resposta). O candidato convidado a
escolher a resposta correta ou a melhor das opes. A haste
pode estar na forma de uma pergunta ou declarao incompleta. Em
alguns casos, um cenrio ou um problema de inscrio tambm pode
ser includos. Estas perguntas normalmente incluem uma descrio
de uma situao e exigir que o candidato a responder a duas ou mais
perguntas com base nas informaes fornecidas. Muitas vezes um CISM
questo da prova vai exigir que o candidato a escolher o
mais provvel ou melhor resposta.
Em todos os casos, o candidato obrigado a ler a pergunta
cuidado, eliminar respostas incorretas conhecidos e, em seguida, fazer a
melhor escolha possvel. Sabendo o formato em que as perguntas so
perguntou, e como estudar para adquirir conhecimento do que vai ser testado,
ir percorrer um longo caminho para respond-las corretamente.
2-1 O objectivo geral da gesto de risco :
A. eliminar todas as vulnerabilidades, se possvel.
B. determinar a melhor maneira de transferir o risco.
C gerir o risco a um nvel aceitvel.
D. implementar contramedidas eficazes.
2-2 A afirmao "risco = vulnerabilidade valor X ameaa X"
indica que:
A. risco pode ser quantificado usando a expectativa de perda anual
(ALE).
B. risco pode ser quantificado, desde magnitude e
frequncia so computadas.
C. o nvel de risco maior quando mais ameaas atender mais
vulnerabilidades.
D. sem saber o valor, o risco no pode ser calculado.
2-3 Para enfrentar mudanas no risco, uma gesto eficaz dos riscos
programa deve:
A. assegurar que os processos de monitoramento contnuo esto em
lugar.
B. estabelecer linhas de base de segurana apropriados para todas as
informaes
recursos.
C. implementar um processo de classificao de dados completo.
Polticas de segurana D. mudana em tempo hbil para o endereo
mudando risco.
valores financeiros.
Pgina 94
gateways)
Deteco de intruso / preveno
Segurana sem fio
Plataforma de segurana
Pgina 98
95
ISACA. Todos os direitos reservados.
para fornecer orientaes sobre a tecnologia da informao e segurana risco
abordagens de gesto. Os exemplos incluem:
COBIT 5
Gesto ISO 31000:2009-Diretrizes de risco sobre os princpios
e implementao da gesto de riscos
Guia de Gesto de Risco do NIST de Tecnologia da Informao
Systems, Publicao Especial 800-30
AS / NZS 4360:2004 Gesto de Risco Padro, agora
substituda pela ISO 31000:2009
HB 436:2004 Diretrizes de Gerenciamento de Riscos companheiro para
AS / NZS 4360:2004
Risco ISO / IEC 27005:2008 Norma de Segurana da Informao
Gesto
As normas referenciadas acima tm gerenciamento de risco semelhante
requisitos, tais como:
Poltica -A necessidade de gerenciamento snior de uma organizao /
liderana executiva para definir e documentar a sua poltica de risco
gesto, incluindo objectivos e seu compromisso
para, de gesto de risco. A poltica deve ser relevante para o
contexto estratgico, metas da organizao, objetivos e da natureza
de seus negcios. A administrao deve assegurar que essa poltica
compreendida e que as normas so desenvolvidas, implementadas e
mantida em todos os nveis da organizao.
Planejamento e mobilizao de recursos , responsabilidade, autoridade e
inter-relaes do pessoal que executa e verifica o trabalho
Anexo 2.2-Risco Process Management
2008 Tecnologias da Informao Segura. Todos os direitos
reservados. Usado com permisso.
Anexo Passos 2,3 contnuo de Gerenciamento de Riscos
Estabelecer escopo e os limites
Identificao
Anlise
Avaliao
Evitar
Reduzir
Transferncia
Reter
Aceitar Risco Residual
Comunicao de Risco e Monitoramento
Avaliao de Risco
Tratamento de Riscos
Identificar e Avaliar
Risco
Monitoramento proativo
Desenvolver Risco
Plano de Gesto
Implementar Risco
Plano de Gesto
Apetite ao Risco
Identificar a causa raiz de Risco
Reviso regular necessrio:
mudanas de risco ao longo do tempo
Contramedidas pode no ser
seguido / apropriado
Contramedidas pode ter
abriu novo risco
Controle de Qualidade
Pgina 100
planos
Parte retidos
Parte transferido
Sim
Sim
Desenvolver planos de mitigao / tratamento
Selecione estratgia de mitigao / tratamento
Recomendar mitigao estratgias / opes
Considere os custos e benefcios de viabilidade
No
Aceitvel
arriscar?
Aceitvel
arriscar?
Reduzir
probabilidade
Risco de avaliao e classificao
Transferncia
em parte full /
Aceitar
Reduzir
conseqncias
Evitar
Reduzir
probabilidade
Transferncia
em parte full /
Reduzir
conseqncias
Evitar
Acompanhar e analisar
Comunique-se e Consult
Reter
Anexo 2.6-O processo de tratamento de riscos
Adaptado do padro australiano, AS / NZS: 4360:1999, Gesto de
Riscos, www.riskmanagement.com / au
Pgina 104
tarefas semelhantes.
Equipamentos / materiais
os custos so bem estabelecida
mas deve ser regulada por
foras competitivas do mercado.
Instalaes e equipamentos
exigem o desenvolvimento de
fpr nova tecnologia
construo crtica ou
funes operacionais para
este projeto.
A taxa prevista de
progresso necessrio para alcanar
concluso como o planejado
extremamente agressivo ou
nenhuma experincia de referncia
est disponvel para julgar a
razoabilidade da
taxa de progresso planejado.
Equipamentos / materiais
os custos no so bem
estabelecidos e no
sujeito a competitiva
foras de mercado.
No / Baixo (0/1)
Mdio (2)
Alta (3)
Categoria de risco
Anexo 2.9-Anlise de Risco Fator
Page 107
Descrio
Informaes ou Mapeamento de TI
Instalaes e ambiente operacional de risco
Perda ou dano de capacidades operacionais
causada por problemas com instalaes, equipamentos,
servios ou equipamentos
Gesto de continuidade de negcios para instalaes de TI
Sade e segurana risco
As ameaas sade e segurana dos funcionrios, pessoal
clientes e membros do pblico
Confidencialidade dos endereos residenciais, turismo
horrios, etc
Riscos de segurana da informao
A divulgao no autorizada ou modificao
informaes, perda de disponibilidade de informao, ou
uso inadequado de informaes
Todos os aspectos da informao e segurana de TI
Risco estruturas de controle
Design ou desempenho do existente inadequada
infra-estrutura de gerenciamento de risco
Anlise de processos de negcios para identificar crtico
fluxos de informao e pontos de controle
Legal e regulamentar do risco de compliance
O no cumprimento com as leis dos pases
em que as operaes comerciais so efectuadas;
no cumprimento de qualquer regulamentao, elaborao de relatrios
e normas de tributao; inobservncia
contratos; ou o fracasso de contratos para proteger
interesses comerciais
A conformidade com a legislao de proteco de dados,
regulamentos de controle de criptografia, etc; preciso,
pontualidade e qualidade das informaes reportadas
para os reguladores, e gerenciamento de contedo de todos
informaes enviadas para outras partes
Risco de governana corporativa
A falha de administrao para cumprir seu pessoal
obrigaes estatutrias em gerenciamento e controle
a empresa
Formulao de polticas de segurana da informao, o desempenho
medio e elaborao de relatrios
Risco de reputao
Os efeitos negativos da opinio pblica, o cliente
opinio e reputao no mercado, e os danos
causados marca pela incapacidade de gerir pblico
relaes
grupos, etc
Coleta de tica, armazenamento e uso de informaes;
gesto de contedos de informao na web
locais, intranets, e em e-mails e corporativo
sistemas de mensagens instantneas
Risco geopoltico
Perda ou danos em alguns pases, causadas por
instabilidade poltica, m qualidade da infra-estrutura
nas regies em desenvolvimento, ou as diferenas culturais e
mal-entendidos
Gerenciando todos os aspectos da segurana da informao
e segurana dos sistemas de TI dos em regies onde a
empresa tem operaes de negcios, mas onde
h risco geopoltico especial
Risco Cultural
Incapacidade de lidar com as questes culturais que afetam
funcionrios, clientes ou outras partes interessadas.
Estes incluem lngua, a religio, a moral, vestido
cdigos e outros costumes e da comunidade
prticas.
Gesto de contedos de informao na web
locais, intranets, e em e-mails e corporativo
sistemas de mensagens instantneas
Clima e tempo de risco
Perda ou danos causados pelo clima incomum
condies, incluindo a seca, o calor, inundaes, frio,
tempestade, ventos, etc
Gesto de continuidade de negcios para instalaes de TI
Fonte: Sherwood, J.; A. Clark, D. Lynas; Arquitetura Corporativa de
Segurana: uma abordagem orientada a negcios , CMP Books,
2005, www.sabsa.org
Pgina 110
EUA US $ 10 milhes
Perda Reguladora de
capacidade de fazer
aquisies por 1 ano
Funcionrio rouba dados; vende
dados para concorrentes
Estratgico
plano
Plano de 3 anos
Mnimo
Mnimo
Mnimo
EUA US $ 20 milhes EUA US $ 2 milhes
Duplicatas Concorrente
novos produtos; traz
no mercado mais rapidamente
Contratado rouba dados; vende
dados para hackers
Empregado
dados
10K registros EUA US $ 5 milhes
EUA US $ 10 milhes
Mnimo
Mnimo
EUA $ 200,000
As fitas de backup e dados
encontrado no lixo; faz
notcia de primeira pgina
Cliente
dados
Registros 10M EUA US $ 20 milhes
EUA US $ 20 milhes
EUA US $ 10 milhes EUA US $ 5 milhes
EUA $ 200,000
Pgina 117
B
(2)
Crtico
Funo
A
(2)
Crtico
Funo
B
(1)
Pgina 119
(1)
Crtico
Funo
B
(2)
Crtico
Funo
A
(2)
Crtico
Funo
B
(1)
1
2
2
1
1
2
Anexo 2.19 Ativos Vulnerabilidades
Cortesia de Kenneth D. Biery de 2008
1
2
2
1
1
2
Risco
Risco
Risco
Risco
Risco
Risco
Risco
Risco
Pgina 120
ou pessoal)
Sistema (manual ou tcnico) e criticidade dos dados (por exemplo, o
valor do sistema ou importncia para uma organizao)
Sistema, pessoal e criticidade de dados (os impactos associados
com a divulgao no intencional)
Esta informao pode ser obtida a partir de realizao de um ou de BIA
documentao organizacional existente, como um impacto misso
relatrio de anlise ou ativo relatrio de avaliao de criticidade, se existirem.
A avaliao do impacto da misso e anlise ou BIA prioriza a
nveis de impacto associados com o compromisso de uma organizao de
ativos de informao com base em uma pesquisa qualitativa ou quantitativa
avaliao da criticidade desses activos. Um criticidade de ativos
avaliao identifica e prioriza a organizao crtica
ativos de informao (por exemplo, hardware, software, sistemas, servios,
e ativos de tecnologia relacionados) que suportam a organizao do
misses crticas.
Se esta documentao no existe ou tais avaliaes para a
ativos de informao da organizao no foram realizados, o
sistema e dados de sensibilidade pode ser determinado com base no nvel
de proteco exigido para manter a disponibilidade, integridade e
confidencialidade do sistema e dos dados.
O impacto negativo de um evento de segurana pode ser descrita em termos
de perda ou degradao ou qualquer combinao de integridade,
disponibilidade
e confidencialidade.
perda de integridade integridade do sistema e de dados refere-se
exigncia de que a informao seja protegido contra imprpria
modificao. Integridade perdido se no autorizado ou errnea
alteraes so feitas ao sistema de dados ou de TI, ou intencional
ou atos acidentais. Se a perda de integridade de dados do sistema ou
no corrigido, o uso continuado do sistema contaminados ou
dados corrompidos pode resultar em corrupo mais amplo, fraude ou
decises mal informado. Alm disso, a violao da integridade pode ser o
primeiro passo de um ataque bem-sucedido contra a disponibilidade do
sistema ou
confidencialidade.
Perda de Disponibilidade -Se um sistema de TI de misso crtica ou
processo
no estar disponvel para seus usurios finais, a misso da organizao pode
ser afetado. A perda da funcionalidade do sistema operacional e
eficcia, por exemplo, pode resultar em perda de tempo produtivo,
impedindo a users'performance final das suas funes
apoiar a misso da organizao.
Perda de Confidencialidade -Neste contexto, refere-se a confidencialidade
para a proteo de informaes contra a divulgao no autorizada.
B
(1)
Unidade de Negcios
C
(3)
1
2
2
1
1
2
Risco
Risco
Risco
Risco
Risco
Risco
Risco
Risco
Pgina 121
a-dia
Assegurar que as alteraes materiais para o relacionamento so sinalizadas
e novas avaliaes de risco so realizadas conforme exigido
Garantir que os processos apropriados sejam seguidos quando as relaes
so terminou
Consideraes ao terceirizao de servios:
Terceirizao ou planejando terceirizar funes crticas de negcio
geralmente aumenta o risco de informaes.
A complexidade do gerenciamento de risco da informao maior em
terceirizao de arranjos pela separao de responsabilidade para
especificao de controle e implementao de controle.
A separao de responsabilidades para a especificao de controle e
implementao de controle superada pelo contrato de terceirizao.
Isto sublinha a importncia do contrato como o principal mtodo
atravs do qual a organizao pode gerenciar seu risco de informaes.
Quando a funo de negcios terceirizados opera dentro de um
indstria regulamentada, o contrato de terceirizao precisa explicitamente
atender s exigncias regulamentares.
A complexidade da avaliao de risco de informao aumentada
em acordos de subcontratao, desde h trs tipos
de risco de informaes para avaliar: a funo de negcios, o
terceirizao provedor e terceirizao em si.
O estilo do contrato global eo valor da inovao
contribudo pelo provedor tem um grande impacto sobre a forma como
que os requisitos de gerenciamento de riscos da informao so especificados.
A relao entre a organizao ea terceirizao
provedor, muitas vezes contribui mais para risco de informao eficaz
gesto em um arranjo de terceirizao do que o contrato.
Porque algumas empresas permanecem, risco informaes estticas
gesto dentro do acordo de terceirizao deve evoluir de modo
que continua a ser relevante para as necessidades da organizao.
A estratgia de sada para o arranjo de terceirizao pelo menos
to importante como a transio inicial. Deve ser desenvolvido em
a fase de planejamento e incluiu no contrato a fim de facilitar o
disponibilidade contnua da funo de negcios terceirizados. O
estratgia de sada demasiado importante para deixar at que a terceirizao
arranjo vem da sua celebrao.
Os requisitos de gesto de risco de informao para terceirizados
funes de negcio so diferentes daquelas para as funes em casa
e, em muitos casos, so maiores. Depois que o risco da informao
foi analisado e os controlos tenham sido identificados, estes
controles devem ser definidas dentro do contrato para o provedor
para implementar. Terceirizao de resultados em uma desconexo entre
definir os controles e sua implementao. Anexo 2.21
fornece uma viso simplista dessa separao das responsabilidades
construdos.
Risco identificado durante esta fase pode ser usado para
apoiar as anlises do sistema de segurana de TI
que pode levar a arquitetura e design tradeoffs durante o desenvolvimento do sistema.
Fase 3-Implementao
Os recursos de segurana do sistema deve ser
configurado, ativado, testados e verificados.
O processo de gesto de risco compatvel
implementao contra as suas exigncias e
dentro do seu ambiente operacional modelado.
As decises sobre risco identificado deve ser feita
antes da operao do sistema.
Fase 4-operao ou manuteno
O sistema realiza a sua functions.Typically
o sistema ir sofrer actualizaes peridicas ou
alteraes em hardware e software, o sistema
tambm pode ser alterada de forma menos evidente devido
mudanas nos processos organizacionais, polticas e
procedimentos.
Atividades de gerenciamento de risco so realizadas
para re-autorizao sistema peridico (ou
recredenciamento ou sempre que mudanas importantes
so feitas para um sistema de TI em seu funcionamento,
ambiente de produo (por exemplo, novos sistemas
Interfaces).
Fase 5-Disposio
Esta fase pode envolver a alienao de
informao, hardware e software.Activities
pode incluir movimento, arquivamento, descartando
ou destruir informaes e higienizao do
hardware e software.
Atividades de gerenciamento de risco so realizadas
para os componentes do sistema que sero eliminados
do ou substitudo para assegurar que o hardware
e software esto devidamente eliminados, que
dados residuais so adequadamente tratadas e que
migrao do sistema realizado em um ambiente seguro e
forma sistemtica.
Pgina 126
outro factor que pode ser monitorizada o que indica mudanas em risco
para a organizao.
Kris so especficos de cada empresa, e sua seleo
depende de um nmero de parmetros no interior e
ambiente externo, tais como a dimenso e complexidade da
organizao, seja ela opera em um mercado altamente regulamentado, e
sua estratgia de negcios. Identificar indicadores de risco teis inclui o
seguintes consideraes:
Incluindo as diferentes partes interessadas na empresa. Risco
indicadores no deve se concentrar apenas no operacional ou o
lado estratgico de risco. Pelo contrrio, devem ser identificados para todos
partes interessadas. Envolver as partes interessadas certas na seleo de
indicadores de risco tambm ir garantir maior buy-in e de propriedade.
Equilibrar a seleo de indicadores de risco abrangendo o desempenho
indicadores que indicam risco aps um evento ocorreu, chumbo
indicadores que indicam quais recursos esto no local para evitar
eventos ocorra, e as tendncias com base em anlise de indicadores
ao longo do tempo ou correlacionando indicadores para obter uma viso
Assegurar que os indicadores selecionados detalhar a causa raiz
de eventos, em vez de apenas se concentrar nos sintomas
Alm disso, importante para determinar quais so susceptveis medidas
para servir KRIs eficazes. Estes diferenciam-se por serem altamente
relevante e possuindo uma alta probabilidade de previso ou indicando
risco importante. Os critrios de seleco KRIs eficazes incluem:
Impacto -Indicadores de risco com elevado impacto potencial so mais
susceptvel de ser KRIs.
Esforo de implementar, medir e reportar -For diferente
indicadores de sensibilidade equivalente ao risco de mutao, os
que so mais fceis de medir so os preferidos.
Confiabilidade -O indicador deve possuir uma alta correlao com
o risco e ser um bom preditor ou desfecho.
Sensibilidade -O indicador deve ser representativa do risco
e capaz de indicar com preciso as variaes no nvel de risco.
Desde ambientes internos e externos da empresa so
em constante mudana, o ambiente de risco tambm altamente dinmico
eo conjunto de Kris mais do que provvel mudana ao longo do tempo.
Cada KRI est relacionada com o apetite de risco e de tolerncia, de modo que
nveis de gatilho pode ser definido que permitir partes interessadas a
tomarem
medidas adequadas em tempo hbil.
2.15.2 Alteraes Reporting significativa no risco
Como as mudanas ocorrem em uma organizao, a avaliao de risco deve
ser
atualizado para garantir sua preciso continuou. Reportagem estas mudanas
para os nveis adequados de gesto no momento adequado um
- Natureza de risco
- Opo de tratamento Selecionado
- Os controles existentes
- controles recomendados no implementadas e as razes pelas quais
eles devem ser implementados
Consequncias e probabilidade de compromisso, incluindo:
- Perda de Renda
- Despesa inesperada
- O risco legal (compliance e contratual)
- processos interdependentes
- Perda de reputao pblica ou a confiana pblica
classificao de risco inicial
Vulnerabilidade a fatores internos / externos
Um inventrio dos ativos de informao, incluindo TI e
ativos de telecomunicaes, que lista:
- Descrio do ativo
- Especificaes Tcnicas
- Nmero / quantidade
- Localizao
- Requisitos de licenciamento especiais, se houver
A mitigao de riscos e plano de ao, fornecendo:
- Quem tem a responsabilidade pela implementao do plano
- Recursos a serem utilizados
- Dotao oramental
- Calendrio de aplicao
- Detalhes das medidas de mecanismo de controle /
- requisitos de conformidade da Poltica
Monitoramento e auditoria de documentos, que incluem:
- Resultados das auditorias / revises e outros procedimentos de
monitoramento
- Acompanhamento da reviso recomendaes e implementao
estado
Finalmente, essencial que toda a documentao de ser sujeito a uma
processo de controle de verso eficaz, bem como uma abordagem padro para
marcao e manuseio. A documentao deve ser visivelmente
rotulado com o nvel de classificao, data de reviso e nmero,
datas de vigncia, e proprietrio do documento.
Pgina 129
Introduction .......................................................................................................
..................................................................... 126
Definition.............................................................................................................
........................................................ 126
Objectives............................................................................................................
......................................................... 126
3.2
Tarefa e do Conhecimento
Statements ..........................................................................................................
................................ 126
Tasks....................................................................................................................
......................................................... 126
Conhecimento Statements....................................................................................
............................................................. 126
Relao de tarefas para Demonstraes Conhecimento
.......................................................................................................... 127
Declarao de Conhecimento Referncia
Guide....................................................................................................................
.. 128
Recursos adicionais sugeridos para
Study....................................................................................................................
... 138
3.3
A auto-avaliao
Questions ............................................................................................................
......................................... 138
Questions.............................................................................................................
......................................................... 138
Respostas a auto-avaliao
Questions.............................................................................................................
........... 140
seo dois: Contedo
3.4
Programa de Gesto de Segurana da Informao
Overview .................................................................................................... 141
3,5
Programa de Segurana da Informao
Objectives ..........................................................................................................
................ 144
3.6
Programa de Segurana da Informao
Concepts .............................................................................................................
............... 145
3.7
processos de gesto
KS3.11 Conhecimento dos mtodos para projetar, implementar e relatrio
mtricas de segurana de informao operacional
KS3.12 Conhecimento de mtodos para testar a eficcia e
aplicabilidade dos controlos de segurana da informao
relao de tarefa para o conhecimento
Demonstraes
As demonstraes de tarefas so o que o candidato CISM esperado
para saber como realizar. As demonstraes de conhecimento delinear
cada uma das reas em que o candidato deve ter um CISM
bom entendimento, a fim de executar as tarefas. A tarefa e
declaraes de conhecimento so mapeados em exposio 3.1 , na medida em
que
possvel faz-lo. Note-se que embora haja muitas vezes se sobrepem,
cada declarao tarefa geralmente so mapeados para vrios conhecimentos
declaraes.
Anexo Demonstraes Conhecimento 3.1-Tarefa e Mapeamento
Declarao de Tarefa
Demonstraes Conhecimento
T3.1 Estabelecer e manter a segurana da informao
programa de alinhamento com a segurana da informao
estratgia.
KS 3.1 Conhecimento dos mtodos para alinhar os requisitos do programa de
segurana da informao com
os de outras funes de negcios
KS3.2 Conhecimento de mtodos para identificar, adquirir, gerenciar e definir
os requisitos para
recursos internos e externos
KS3.3 Conhecimento de tecnologias de segurana da informao e os
conceitos subjacentes
KS3.4 Conhecimento dos mtodos para projetar os controles de segurana da
informao
KS3.5 Conhecimento de arquiteturas de segurana da informao (por
exemplo, pessoas, processos,
tecnologia) e mtodos para aplic-los
T3.2 Garantir o alinhamento entre a segurana da informao
funes do programa e outros negcios (por exemplo,
recursos humanos [HR], contabilidade, compras
e TI) para apoiar a integrao com o negcio
processos.
KS3.1 Conhecimento dos mtodos para alinhar os requisitos do programa de
segurana da informao com
os de outras funes de negcios
T3.3 identificar, adquirir, gerenciar e definir os requisitos
para recursos internos e externos para executar o
3.6
Programa de Segurana da Informao
Conceitos
3.7
mbito e Carta de Informao
Programa de Segurana
3.14.1 Informaes de Segurana de Ligao
Responsabilidades
3.14.2 Responsabilidades Cross-organizacionais
Estrutural e cultural
consideraes para
alinhamento
3.7
mbito e Carta de uma informao
Programa de Segurana
3.10.1 Elementos de um Roteiro
3.13.1 Pessoal, papis e
Responsabilidades e Competncias
3.14.1 Informaes de Segurana de Ligao
Responsabilidades
3.14.2 Responsabilidades Cross-organizacionais
Pgina 133
e gesto
3.4.2
Resultados de Segurana da Informao
Gesto do Programa
3.9.3
Componentes administrativos
3.10.1 Elementos de um Roteiro
3.10.2 Desenvolver uma Segurana da Informao
Programa Roteiro
3.11.2 Objetivos da Segurana da Informao
Arquiteturas
3.13.1 Pessoal, papis e
Responsabilidades e Competncias
3.14.9 Outsourcing e Fornecedores de Servios
3.14.11 Integrao com Processos de TI
Recursos necessrios para
segurana da informao
implementao do programa
3.4.2
Resultados de Segurana da Informao
Gesto do Programa
3.6.2
Recursos Tecnolgicos
3.9.3
Componentes administrativos
3.10.1 Elementos de um Roteiro
3.10.2 Desenvolver uma Segurana da Informao
Roteiro Programa
3.11.2 Objetivos da Segurana da Informao
Arquiteturas
3.13.1 Pessoal, papis e
Responsabilidades e Competncias
3.13.7 Oramento Programa
3.14.9 Outsourcing e Fornecedores de Servios
3.14.11 Integrao com Processos de TI
Pessoal necessrio para
implementao do programa
3.13.1 Pessoal, papis e
Responsabilidades e Competncias
3.13.10 Vendor Management
3.14.9 Outsourcing e Fornecedores de Servios
Os requisitos de segurana
para as funes terceirizadas
e servios
3.14.9 Outsourcing e Fornecedores de Servios
3.15
Controles e Contramedidas
O uso e finalidade de
tecnologias de segurana
3.6
Programa de Segurana da Informao
Conceitos
3.15
Controles e Contramedidas
3.17
Segurana da Informao Comum
Desafios do Programa
Tecnologias de controle
3.6.2
Recursos Tecnolgicos
3.15
Controles e Contramedidas
3.15.2 Controles como Estratgia de Implementao
Recursos
3.15.7 Controles Fsicas e Ambientais
3.15.8 Tecnologia de Controle Categorias
Segurana da informao
tecnologia
3.11
Infra-estrutura de Segurana da Informao
e Arquitetura
Pgina 135
3,9
Framework de Segurana da Informao
Componentes
3.13.2 Security Awareness, Formao e
Educao
3.13.3 Documentao
3.13.8 Regras Gerais de Uso / Aceitvel
Use Policy
3.14.4 Comentrios de Segurana e Auditorias
3.14.7 Monitoramento e Compliance
Aplicao
3.14.8 Avaliao de Riscos e Impacto
3.14.11 Integrao com Processos de TI
3.15
Controles e Contramedidas
3.16.8 Medio Segurana
Custo-efetividade
3.16.10 Analisando a eficcia da tcnica
Arquitetura de segurana
Testando controles para
eficcia
3.14.9 Outsourcing e Fornecedores de Servios
3.15.10 Testes de Controle e Modificao
Pgina 136
Desenvolvimento e Gesto
Seo I: Panorama
CISM manual comentrio 2013
133
ISACA. Todos os direitos reservados.
KS3.7 Conhecimento dos mtodos para implementar e comunicar as polticas
de segurana da informao, normas, procedimentos
e diretrizes
Explicao
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
Polticas de segurana, normas, procedimentos e diretrizes so as principais
ferramentas
para orientar a implementao e gesto de um segurana da informao
programa.
As polticas so declaraes de alto nvel de inteno de gesto, direo e
expectations.The tpico coberto extensivamente no captulo 1, sees 1.14.1
e 1.16.2. Do ponto de vista da gesto de uma segurana da informao
programa, j ter sido desenvolvido polticas, embora possam
requerem adies, reviso ou modification.Typically, a tarefa de gerenciar
o programa de segurana vai se preocupar com a interpretao dessas polticas
por
desenvolvimento ou modificao de uma coleo de especfico standards.The
apropriado
natureza e contedo das normas regido pelas exigncias
de gerenciamento de riscos. As polticas so implementadas por projetar,
desenvolver
ou modificao e implantao de controles de acordo com esses padres.
A conformidade com as normas em uma base contnua consistente tambm
ser um
foco importante para o gerente de segurana da informao.
essencial desenvolver polticas que garantam que o desenvolvimento do
programa
est alinhada com e apoia os objectivos organizacionais. Polticas podem
existem, ou tm sido desenvolvidos, como parte da estratgia, mas podem
requerer
modificao durante o desenvolvimento do programa de segurana como
condies ou
constrangimentos mudar. Pode ser determinado que as polticas no
adequadamente
face a circunstncias imprevistas, que o legal ou regulamentar
requisitos mudaram ou diferentes objetivos de negcios tm
emerged.The gerente de segurana da informao devem assegurar que os
processos
mudanas
3.13.1 Pessoal, papis e
Responsabilidades e Competncias
3.13.3 Documentao
3.14.7 Monitoramento e Compliance
Aplicao
Requisitos para
avaliao do controle
documentao
3.14.7 Monitoramento e Compliance
Aplicao
Anexo 3.14 Segurana comentrio Alternativas
Pgina 138
Monitorao
KS3.12 Conhecimento de mtodos para testar a eficcia e aplicabilidade dos
controles de segurana da informao
Explicao
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
Controles geralmente evoluem ao longo do tempo, em resposta a um
determinado evento ou
circunstncia, geralmente sem o benefcio de uma estratgia global controles
e architecture.An aspecto importante do programa de segurana da informao
desenvolvimento estabelecer um processo para analisar e avaliar
periodicamente
controles para assegurar que continuam a ser relevantes e effective.Assessing
eficcia e aplicabilidade deve incluir uma anlise custo-benefcio
englobando inconveniente para os usurios e os impactos sobre a
produtividade, bem
como o custo total de propriedade (TCO) do controle, incluindo a aquisio,
implantao, treinamento, testes, manuteno e eventual desmantelamento.
Em muitas organizaes, os controles so desenvolvidas durante longos
perodos de
tempo, muitas vezes em uma resposta reativa a um evento ou incidente
relacionado segurana.
A justificativa para esses controles geralmente no documentado e os
controles
simplesmente tornar-se uma prtica aceita, se a necessidade de que eles ainda
existe ou outros controles redundantes foram implemented.An em curso
requisito para a efetiva gesto de segurana da informao garantir que
todos os controles-se tcnico, fsico ou processual-so documentados,
se encontram definidos os objetivos de controle, e so periodicamente testados
tanto para o custo
e para a eficcia. Mtodos utilizados para testar os controles devem ser
objetivos,
coerente e eficaz em termos de custos.
Finalidade do teste
controles
3.14.4 Comentrios de Segurana e Auditorias
3.15
Controles e Contramedidas
Mtodos de testes
controles
3.14.4 Comentrios de Segurana e Auditorias
3.15.10 Testes de Controle e Modificao
Critrios de teste de controle
3.14.4 Comentrios de Segurana e Auditorias
Legal e regulamentar
testes de controle
requisitos
3.13.13 requisitos legais e regulamentares
Pgina 142
Edio ,
Auerbach Publications, EUA, 2012
International Federation of Accountants (IFAC) ", Managing
Segurana de Diretrizes informao ", 2006, www.ifac.org
International Organization for Standardization (ISO),
"Diretrizes para a Gesto da Segurana de TI,
ISO / IEC 13335, "2006 www.iso.org
ISACA, Computao em nuvem: benefcios para o negcio com a segurana,
Governana e garantia de perspectivas , 2009,
www.isaca.org/Knowledge-Center/Research/Documents/
Cloud-Computing-28oct09-Research.pdf
ISACA, COBIT 4.1, EUA, 2007, www.isaca.org / COBIT
ISACA, COBIT 5, EUA, 2012, www.isaca.org / COBIT
ISACA, COBIT 5 para Segurana da Informao , EUA, 2012
Krause Nozaki, Micki, Harold F. Tipon; Handbook of
Gesto de Segurana da Informao, 6
Edio , Volume 6,
Edio , Auerbach
Publicaes, EUA, 2008
Natan, Ron Ben; Implementao de Banco de Dados de Segurana e
Auditoria , Elsevier Digital Press, EUA, 2005
Selo, marca, Segurana da Informao: Princpios e Prticas,
2
Pgina 144
3-4 C
Acordos de nvel de servio (SLAs) fornecer
mtricas para que as empresas de terceirizao podem ser
responsabilizados. Esta mais importante do que
uma limitao de responsabilidade da empresa de terceirizao,
uma clusula de direita para a terminar ou um assalto inofensivo
acordo que envolve responsabilidades a terceiros
partes.
3-5 A
Corrige gerenciamento de patches descoberto
fraquezas, aplicando uma correo
(Patch) para o cdigo de programa original. Mudana
gesto controla o processo de introduo de
mudanas nos sistemas. Linhas de base de segurana fornecem
configuraes mnimas recomendadas. Configurao
gesto controla as atualizaes para o
ambiente de produo.
3-6 C
Controles de acesso baseados em funo ajudar a garantir que os usurios
s tm acesso a arquivos e sistemas adequados
por seu papel trabalho. Registros de violao so detetive e
no impedem o acesso no autorizado. Linha de Base
normas de segurana no impedem no autorizado
acesso. Rotinas de sada so dependentes
acesso baseado em funo apropriada.
3-7 A
Se um sistema de deteco de intruso (IDS) no
ajustado adequadamente ele ir gerar uma inaceitvel
nmero de falsos positivos e / ou deixar de soar um
alarme quando um ataque real est em andamento. Corrigindo
est mais relacionado com o endurecimento do sistema operacional,
enquanto a filtragem de pacotes de criptografia e no seria
como relevante.
3-8 B
Datas de vencimento pr-determinados so os mais
meio eficaz de remover o acesso de sistemas
para usurios temporrios. A dependncia de gestores para
prontamente enviar avisos de resciso no pode
sempre ser contado, mas exige cada
indivduo a assinar um reconhecimento de segurana
teria pouco efeito neste caso.
3-9 D
Apoio suficiente gerncia executiva
o fator mais importante para o sucesso
de um programa de segurana da informao. Aberto
a estratgia
lacunas estreitas
Criar roteiro
para navegar
estratgia
Desenvolver programa
para implementar
estratgia
Gerenciar a segurana
programa para atender
objetivos e
alcanar desejado
resultados
A gesto de riscos
atividades avaliar
risco atual,
estratgia de informao,
o desenvolvimento do programa
e gerenciamento de segurana
Pgina 152
Management Framework
O quadro de gesto de segurana da informao um conceitual
representao de uma estrutura de gesto de segurana da informao.
Deve definir a tcnica, operacional, administrativa e
componentes de gesto do programa; as unidades organizacionais
e liderana responsvel para cada componente, o controle ou
objectivo de gesto que cada componente deve entregar;
as interfaces e fluxo de informaes entre os componentes;
e resultados tangveis de cada componente. Embora os formatos e
nveis de detalhe variar, o quadro deve fundamentalmente descrever
os componentes de gerenciamento de segurana da informao (por exemplo,
papis,
polticas, procedimentos operacionais padro [POPs], a gesto
procedimentos, as arquiteturas de segurana) e suas interaes em
traos largos. Isto , na sua essncia, uma arquitectura operacional conforme
descrito na seo 3.12.
Outros resultados de um quadro eficaz de gerenciamento de segurana
foco nas necessidades de curto prazo. Por exemplo, organizacional
tomadores de deciso requerem conscincia de opes de mitigao de risco e
em apoio s iniciativas empresariais, tais como hosting externo
sistemas de informao. Implementadores de solues muitas vezes requerem
os servios de percia tcnica assunto de segurana, que
o gerente de segurana da informao deve facilitar, quer atravs
recursos internos ou externos. Garantir que as iniciativas e
existente operaes aderir a polticas e normas tambm uma rea
que o gerente de segurana da informao e do departamento de segurana
Espera-se administrar.
O gerente de segurana da informao normalmente esperado para
embarcaes
opes de gerenciamento de segurana da informao que entregam
resultados
que so menos direta, mas no menos importante, para alcanar a segurana
objetivos. Esses objectivos incluem demonstrando, direta e
indirectamente, que:
O programa agrega valor ttico e estratgico para o
organizao.
O programa est sendo operado de forma eficiente e com a preocupao de
questes de custo.
Gesto tem uma compreenso clara da segurana da informao
motoristas, atividades, benefcios e necessidades.
conhecimento de segurana da informao e capacidades esto crescendo
como
um resultado do programa.
O programa promove a cooperao e boa vontade entre
unidades organizacionais.
COBIT 5
Princpios
Pgina 153
banco on-line
servios
Diretor da
auditoria interna
A: Integrado
o incidente ITIL
e problema
gesto
processos,
projeto
gesto
service desk,
humano
recursos,
sistemas
desenvolvimento
A
B: Integrado
para o projeto
gesto
dashboards
Contrato
Registro
Estatutria,
Regulador
Registro
ISMS ISO27K
AUDITORIA
GESTO
REVISO
ACCEPT,
Rejeitar ou
TRANSFERNCIA
RISCO
CORRETIVA
OR
PREVENTIVA
AO
GESTO ISMS
PROCESSO DE REVISO
PLANOS DE ACO /
PROJETO
PLANOS
Reunio
Minutos
CONFORMIDADE
AMEAA / RISCO
AVALIAO
RISCO
AVALIAO
DECLARAO
DE
APLICABILIDADE
ISMS RECORDE
GESTO
RECORDS /
EVIDNCIA
ASSET
INVENTRIO
DADOS
SENSIBILIDADE
PARCEIRO /
CLIENTE
FEEDBACK
NEGCIOS
PLANOS
LEGISLATIVA
MUDANAS
ISMS EXTERNO
ENTRADA
RISCO
TRATAMENTO
PLANO
CONTNUA
MELHORIA
PROGRAMA
AUDITORIA
RELATRIO
ISMS AUDITORIA
PROCESSO
SIM
SIM
SIM
NO
NO
NO
B
RELATRIO RA
Exposio Sistema de Gesto de Segurana de 3,5 Informaes controles
de processo
Pgina 158
(Onde)
Tempo
(Quando)
Negcio
Requisitos
Coleo;
Informaes
Classificao
Negcio
Continuidade
Gesto
Segurana
Operaes
Horrio
Gesto
Domnio de Segurana
Gesto
Segurana
Formao;
Conscincia;
Cultural
Desenvolvimento
Mude de Controle
Incidente
Gesto;
Desastre
Recuperao
Auditoria de Segurana;
Corporativo
Compliance;
Mtricas, medidas
e referencial;
SLAs
Risco de Negcio
Avaliao;
Poltica da empresa
Fazer
Negcio
Calendrio e
Horrio
Gesto
Negcio
Operaes de Campo
Programa
Negcio
Segurana
Organizao
Gesto
Risco de Negcio
Avaliao;
Poltica da empresa
Fazer
Deteco de Intruso;
Monitoramento de Eventos
Processo de Segurana
Desenvolvimento
Servio de Segurana
Gesto;
Desenvolvimento de Sistemas
Controles; Configurao
Gesto
Aplicaes
Prazo & Cut-off
Gesto
Controle de Acesso;
Privilege e
Perfil
Administrao
Aplicaes
Segurana
Administrao e
Gesto
Segurana detalhada
Formulao de Polticas;
Poltica
Observncia
Monitoramento;
Inteligncia
Coleta
Informaes
Segurana;
Integridade do sistema
Banco de dados
Segurana;
Integridade do sistema
Vulnerabilidade
Avaliao;
Penetrao
testes;
Ameaa
Avaliao
Regra de definio;
Key Management
Manuteno ACL
Administrador de Backup;
Computao Forense;
Event Log Administator
Anti-Virus
Administrador
Suporte ao Usurio;
Segurana
Help desk
Rede
Segurana
Gesto;
Segurana do site
Gesto
Usurio A / C Envelhecimento;
Senha Envelhecimento;
Envelhecimento chave de criptografia;
Admin. de Acesso
Time Control
Windows
Produtos e Ferramenta
Segurana e
Integridade
Ameaa
Investigao;
Vulnerabilidade
Investigao;
CERT
Notificaes
Produto
Aquisies;
Projeto
Gesto;
Operaes
Gesto
Pessoal
Habilitao;
Fornecedor Aprovao;
Admin.
Plataforma
Workstation e
Equipamento
Segurana
Gesto
Intervalo
Configurao;
Detalhado
Segurana
Operaes
Sequenciamento
Anexo 3.9-A Sabsa Quadro de Gesto de Segurana
Anexo 3.8-A Matrix Sabsa para o Desenvolvimento Arquitetura de
segurana
Fonte: 1995 a 2008, Sherwood Negcios Aplicada Arquitetura de
segurana. Todos os direitos reservados. Usado com permisso.
Ativos
(O que)
Contextual
Conceptual
Lgico
Fsico
Componente
Operacional
Motivao
(Por)
Processo
(Como)
Pessoas
(Quem)
Localizao
(Onde)
Tempo
(Quando)
O
Negcio
Negcio
Atributos
Negcio
Informaes
Modelo
Negcio
Dados
Modelo
Garantia de
Operacional
Continuidade
Detalhado
Dados
Estruturas
Negcio
Risco
Modelo
Negcio
Processo
Modelo
Negcio
Organizao e
Relacionamentos
Controle
Objetivos
Segurana
Polticas
Regras de Segurana,
Prticas e
Procedimentos
Operacional
Risco
Gesto
Segurana
Normas
Segurana
Estratgias e
Arquitetnico
Camadas
Segurana
Servios
Segurana
Mecanismos
Servio de Segurana
Gesto
e Suporte
Segurana
Produtos
e Ferramentas
Entidade de Segurana
Modelo e
Confiana-Quadro
Entidade esquema
e Privilege
Perfis
Usurios,
Aplicaes
ea
Interface com o Usurio
Aplicao
e Usurio
Gesto
e Suporte
Identidades,
Funes,
Aes
e Acesso
Controle
Lists (ACLs)
Negcio
Geografia
Segurana
Domnio
Modelo
Domnio de Segurana
Definies e
Associaes
Plataforma
e Rede
Infra-estrutura
Segurana de
Sites, Redes
e Plataformas
Processo,
Nodes,
Endereos
e Protocolos
Negcio
Tempo
Dependncias
Relacionados Segurana
Vidas e
Prazos
Segurana
Processamento
Ciclo
Controle
Estrutura
Execuo
Segurana
Operaes
Horrio
Segurana Etapa
Cronometragem
e Sequercing
Pgina 162
Skills
Habilidades so a formao, especializao e experincia realizada pelo
pessoal em uma determinada funo. importante compreender
as proficincias de pessoal disponvel para garantir que eles so mapeados
de competncias requeridas para a implementao do programa. Especfico
habilidades necessrias para a implementao do programa pode ser adquirido
atravs da formao ou da utilizao de recursos externos. Os recursos
externos
tais como consultores so muitas vezes uma opo mais econmica para
competncias necessrias para apenas um curto perodo de tempo para
projetos especficos.
Uma vez que foi acordado que certas pessoas tero especfico
responsabilidades de segurana da informao, o emprego formal
acordos devem ser estabelecidos que fazem referncia os
responsabilidades, e estes devem ser considerados quando o rastreio
candidatos a emprego
Cultura
Cultura representa o comportamento organizacional, mtodos para
navegao e influenciando a organizao do formal e informal
estruturas para comear o trabalho feito, atitudes, normas, o nvel de trabalho
em equipe,
existncia ou no de questes de relva, e disperso geogrfica. Cultura
impactado pelos fundos individuais, a tica do trabalho, valores, passado
experincias, filtros individuais / pontos cegos e percepes da vida
que os indivduos trazem para o local de trabalho. Cada organizao tem um
cultura, se foi propositadamente concebido ou simplesmente emergiu
ao longo do tempo como um reflexo da liderana.
Enquanto a segurana da informao envolve principalmente lgico e
atividades de anlise, a construo de relacionamentos, trabalho em equipe e
influenciar as atitudes organizacionais para um positivo
cultura de segurana se baseia mais em boas habilidades interpessoais. O
astuto gerente do programa de segurana da informao vai reconhecer o
importncia do desenvolvimento de ambos os tipos de habilidades como
essencial para ser
um gerente eficaz.
Construir uma cultura de segurana-aware depende indivduos em
seus respectivos papis realizando seus trabalhos de uma forma que proteja
ativos de informao. Cada pessoa, no importa o nvel ou funo dentro
a organizao, deve ser capaz de articular como informaes
segurana relaciona-se com o seu papel. Para que isso acontea, a segurana
gerente deve planejar comunicaes, participar de comits
e projetos, e fornecer ateno individual ao users'or final
managers'needs. O departamento de segurana deve ser capaz de responder
"O que est nele para mim?" Ou "Por que eu deveria me importar?" Para cada
pessoa
para transferncia de dados pode ter acesso aos dados na maioria dos sistemas,
e
aqueles ajuste de desempenho fazendo pode mudar mais operacional
configuraes do sistema. As pessoas cujo trabalho agendar lote
trabalhos tm a autoridade para executar a maioria das aplicaes de
empregos do sistema.
Os programadores tm acesso para alterar o cdigo do aplicativo. Estes
funes no so tipicamente gerida por um segurana da informao
gerente. Embora seja possvel configurar o monitoramento elaborado
controles, no tecnicamente vivel ou prudente financeiramente para
um gerente de segurana da informao para proporcionar superviso
adequada
para garantir que todos os trabalhos de transferncia de dados que transmitem
relatrios enviar
-los apenas para os destinatrios devidamente autorizado. Embora o
gerente de segurana da informao pode garantir que no h poltica clara,
desenvolver normas aplicveis e ajudar na coordenao de processos,
gesto em todas as reas devem auxiliar na superviso.
Conscientizao dos funcionrios deve comear a partir do ponto de aderir
organizao (por exemplo, atravs da formao de induo) e continuar
regularmente. As tcnicas para a entrega precisa de variar para evitar
los de se tornar obsoleto ou chato, e tambm pode precisar de ser
incorporadas em outros programas de treinamento organizacional.
Programas de conscientizao de Segurana deve consistir de formao,
muitas vezes
administrado online, testes simples para avaliar a reteno de
conceitos de formao; lembretes de conscientizao de segurana, tais como
cartazes,
newsletters, ou protetores de tela, e uma programao regular de reciclagem
treinamento. Em organizaes maiores, pode haver um grande o suficiente
populao de mdia e alta gerncia para justificar especial
formao de nvel gerencial em conscincia e segurana da informao
questes de operaes.
Todos os funcionrios de uma organizao e, se for o caso, de terceiros
os usurios devem receber treinamento apropriado e atualizaes regulares
sobre
a importncia da segurana polticas, normas e procedimentos
na organizao. Isso inclui requisitos de segurana, legal
responsabilidades e controles empresariais, bem como a formao em
o uso correto das instalaes de processamento de informao, por exemplo, o
login
procedimentos, o uso de pacotes de software. Para os novos funcionrios, este
deve ocorrer antes que o acesso a informaes ou servios concedida
e ser uma parte da orientao de novos funcionrios.
O gerente de segurana da informao deve ter um metdico
Partes Interessadas
Informaes
Segurana
Requisitos e
Expectativas
Chumbo corretiva,
preventiva, e
melhoria contnua
planos de ao
Planejar, projetar e iniciar o programa de segurana da informao. Essas
atividades incluem a criao de uma estratgia,
conceitos de socializao, a criao de polticas, metas, objetivos e prticas
necessrias para gerir o risco.
Executar e controlar a estratgia de segurana da informao, incluindo a
integrao em prticas organizacionais.
Facilitar auditorias semestrais para determinar a conformidade com a
declarao de aplicabilidade e identificar
oportunidades de melhoria. Sempre que apropriado, desenvolver e integrar as
matrizes de desempenho que
Segurana da informao Suporte metas e objetivos do programa.
Aps a descoberta de no-conformidades e / ou oportunidades, criar e
acompanhar corretiva, preventiva e
ao de melhoria contnua planeja. Apresentar os resultados das avaliaes de
auditoria e risco internos / externos para
o Comit de Gesto de Reviso para as decises sobre a aceitao, rejeio ou
transferncia de risco e
o comprometimento de recursos e capital para facilitar os esforos
subseqentes.
Manter e melhorar
segurana da informao
programa
Projeto e plano
segurana da informao
programa
Monitor, auditoria,
analisar as informaes
programa de segurana
Partes Interessadas
Gerenciado
Informaes
Segurana
Exposio 3.12-Estratgico Objetivos, QCA, KPIs, aces-chave
Estratgico
objetivos
V
iso
QCA
KPIs / metas
As aces-chave /
mudanas nos negcios
Pgina 172
Desenvolvimento e Gesto
Seo Dois: Contedo
170
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
novas aquisies de equipamentos. Na ausncia de um tal processo, isso
importante que o gerente de segurana da informao para ser avisado de
proposto aquisies e proporcionou a oportunidade de determinar
o risco pode ser introduzido como um resultado.
Observncia
Como conseqncia do legal cada vez mais complexo e
cenrio regulatrio que as organizaes devem navegar, muitos
organizaes tm implementado um escritrio de conformidade que podem
ser um departamento independente ou uma parte do departamento jurdico.
Uma vez que no pode precisar de ser poltica, normas e procedimentos
reconhecimento dos requisitos legais e regulamentares aplicveis,
necessrio que o gerente de segurana da informao para estabelecer uma
relao de trabalho com o escritrio de compliance.
Privacidade
Regulamentos de privacidade tornaram-se cada vez mais comum e
mais restritiva em muitas partes do mundo. Em resposta, muitos
organizaes tm institudo um escritrio de privacidade ou um oficial de
privacidade.
Em alguns casos, isto uma parte do escritrio conformidade, ou pode ser
uma funo separada. Em todos os requisitos do evento, de privacidade, de
alguma
jurisdies so vigorosamente aplicada e cumprimento deve ser
um foco importante de segurana da informao. Para garantir que os
requisitos
forem atendidas, o gerente de segurana da informao deve manter
coordenao com o escritrio de privacidade para evitar sanes que tm
crescido cada vez mais grave.
Treinamento
Muitas organizaes maiores tm uma formao e educao em separado
departamento. O gerente de segurana da informao deve ter
contato com esta funo de assistncia no fornecimento de segurana
treinamento de conscientizao e educao em habilidades de segurana
necessrias.
Quality Assurance
A garantia de qualidade deve incluir nveis aceitveis de relacionados com a
segurana
controlos. Compreender o processo de controle de qualidade ea garantia de
que ele inclui
testes de aspectos relacionados com a segurana uma considerao
importante
Pgina 178
Pgina 179
176
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
polticas ou normas. Tais compromissos devem ser considerados no
quando possvel processo de desenvolvimento de polticas para minimizar a
necessidade
para excees subseqentes. Como parte do desenvolvimento do programa,
um processo de renncia formal devem ser implementadas para gerenciar a
ciclo de vida dessas excees para garantir que eles so periodicamente
revistos e, quando possvel fechado.
Conformidade com as Normas
Normas fornecer os limites de opes de sistemas, processos,
e aes que ainda vai cumprir com a poltica. As normas devem
ser concebido para assegurar que todos os sistemas do mesmo tipo no interior
da
mesmo domnio de segurana so configurados e operados no mesmo
forma com base na criticidade e sensibilidade dos recursos. Estes vontade
permitir que os procedimentos de administrao de plataforma a ser
desenvolvida utilizando
documentos de padres como referncia para garantir que o cumprimento da
poltica
mantida. Normas tambm oferecem economia de escala, o
mapeamento de configurao para a poltica precisa ser feito apenas uma vez
para
cada domnio de segurana e tecnologia e engenharia de processos
esforos so reutilizados para sistemas do mesmo tipo.
Tanto quanto possvel, a conformidade com as normas devem ser
automatizado para garantir que as configuraes do sistema no, atravs de
atividade intencional ou no, desviar-se da poltica
cumprimento. No entanto, como a poltica deve indicar apenas a gesto
inteno, direo e expectativas para permitir flexibilidade para diferentes
padres para desenvolver e fornecer muitas opes para cumprir
poltica, as excees s normas devem ser sempre revistos para
ver se eles se desviam da inteno da poltica. Tambm pode ser que um
situao de negcios justifica um desvio dos padres existentes, mas,
no entanto, pode ser determinada a cair dentro da inteno da poltica.
Resoluo de problemas de no conformidade
Problemas de no conformidade geralmente resultam em risco organizao,
por isso importante para o desenvolvimento de processos especficos para
lidar com estes
problemas de uma forma eficaz e atempada. Dependendo de quo
significativa o risco , vrias abordagens podem ser tomadas para endereo
lo. Se um evento de descumprimento particular um risco grave, em seguida,
resoluo precisa ocorrer rapidamente. Os benefcios gerente de segurana
o maior benefcio.
Vantagens
Os defensores da computao em nuvem citam uma srie de benefcios,
incluindo:
Custo -Computing torna-se um custo operacional em vez de uma
despesas de capital uma vez que o provedor de nuvem tipicamente fornece
a infra-estrutura, conforme necessrio. Alm disso, muito menos em casa
experincia necessria reduzindo as necessidades de pessoal tcnico.
Centralizao de recursos de computao com os resultados do provedor em
economias de escala que reduzem os custos tambm.
Escalabilidade -Fornece provisionamento sob demanda de recursos
reduo ou eliminao de requisitos para planejamento de capacidade.
Confiabilidade provedores de computao em nuvem-Large ter redundantes
sites que podem abordar mais a continuidade dos negcios e do desastre
problemas de recuperao.
Desempenho Melhor desempenho, como resultado de provedor
monitoramento contnuo e consistente.
Agilidade -Maior agilidade como resultado da rpida re-provisionamento de
recursos de infra-estrutura, conforme necessrio.
O modelo de nuvem pode ser pensado como sendo composto por trs
modelos de servio ( exposio 3,15 ) e quatro modelos de implementao
( expor 3.16 ). Riscos e benefcios globais sero diferentes por modelo, e
importante notar que, quando se considera a diferentes tipos de
modelos de servios e de implantao, as empresas devem considerar o
risco de que os acompanha.
Consideraes sobre segurana
Para as organizaes onde a segurana no considerado um alto
prioridade, a segurana fornecida por um provedor de nuvem pode respeitvel
ser uma melhora significativa. No entanto, para as informaes
gerente de segurana, consideraes de segurana so uma questo que deve
ser cuidadosamente avaliada. A perda de controle sobre os dados sensveis
must
ser considerado. A localizao dos dados pode ser um problema tambm. Em
organizaes que armazenam e transmitem dados atravs estadual ou nacional
limites, o gerente de segurana da informao pode precisar
considerar leis inumerveis, regulamentos e requisitos de conformidade
de vrias jurisdies. Requisitos para lidar com incidentes podem
variar de uma jurisdio para outra, por exemplo, violao de notificao
leis. Disponibilidade de logs de auditoria tambm pode ser limitada ou
inexistente
do provedor de nuvem, eo nvel real de segurana pode ser
difcil de determinar.
Tal como acontece com a terceirizao de TI, a falha do fornecedor ou o
interconexes pode deixar a organizao sem computar
recursos e apesar da ocorrncia improvvel, deve ser
considerada.
3.14.11 integrao com os processos de TI
importante para proporcionar as interfaces definidas entre o
funes relacionadas com a segurana da organizao e assegurar que no
so canais de comunicao claros. Por exemplo, informaes
atividades de gerenciamento de risco de segurana devem integrar-se bem
com o
atividades de um gerente de risco organizacional para garantir a continuidade
e eficincia de esforos. Planejamento de continuidade de negcios muitas
vezes
uma funo separada que devem integrar-se com a resposta a incidentes
atividades do departamento de segurana da informao.
Integrao
O gerente de segurana da informao deve garantir que o
programa de segurana da informao interage efetivamente com outro
funes de garantia organizacionais. Estas interfaces so muitas vezes
bidirecional, ou seja, informaes relacionadas segurana recebida
destes servios e, por sua vez, a segurana da informao deve
fornecer informaes relevantes para essas unidades. A garantia
funes oferecem entrada, requisitos e feedback para o
programa de segurana da informao, que, por sua vez, fornece mtricas e
dados de avaliao para avaliao de garantia. importante que o
unidades de garantia da organizao fazem parte do comit de direco
para garantir a conscincia mais ampla de questes de segurana. Broad em
curso
envolvimento tambm ajuda a evitar o efeito silo desintegrada criado
quando as funes de garantia de operar de forma isolada.
Para ser eficaz, a segurana da informao deve ser difundida, afetando
todos os aspectos da empresa. Como consequncia, o intervalo de
responsabilidades para a gesto de segurana eficaz amplo e,
na maioria dos casos, excede a autoridade directa da informao
gerente de segurana. Como resultado, o gerente de segurana da informao
mais provvel de ser bem sucedida, operando de forma colaborativa
moda, ser um bom comunicador e desenvolvimento de um persuasivo
business case para iniciativas de segurana.
Processos do Ciclo de Vida do Sistema
Alcanar a segurana dos sistemas de informao eficazes mais fcil quando
consideraes de risco e proteo esto includos no SDLC.
Uma vez que essas atividades so geralmente da responsabilidade de outro
departamentos, mas ter um impacto significativo sobre a segurana,
essencial
que o gerente de segurana da informao desenvolve abordagens para
integrar estas funes com as atividades de segurana da informao.
Os vrios processos SDLC geralmente consistem em:
Estabelecimento de requisitos
Viabilidade
Arquitetura e design
Prova de conceito
Desenvolvimento completo
O teste de integrao
Qualidade e testes de aceitao
Implantao
Manuteno
Sistema de fim de vida
Gesto da Mudana
Praticamente todas as organizaes utilizam alguma forma de mudana
processo de gesto. Em alguns casos, pode no ser formal.
Segurana deve ser uma parte integrante da gesto da mudana
processo, pois novas vulnerabilidades podem ser introduzidas como resultado
de processo do sistema ou mudanas. O gerente de segurana da informao
deve identificar todos os processos de gesto de mudana utilizados pelo
organizao para a notificao de que as mudanas esto ocorrendo, que
pode afetar a segurana. As necessidades de gerente de segurana da
informao
implementar processos para assegurar que as implicaes de segurana
so considerados uma prtica padro. Como as mudanas so feitas para
sistemas e processos ao longo do tempo, muitas vezes h uma tendncia para
controla a segurana existente para tornar-se menos eficaz. Portanto, ele
Pgina 185
Center/Research/ResearchDeliverables/Pages/Cloud-Computing-businessbenefits-With-Security-Governance-and-Assurance-Perspective.aspx
Pgina 186
Desenvolvimento e Gesto
Seo Dois: Contedo
184
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
EUA Lei Sarbanes-Oxley, lgico para criar um processo que
mostra de revistas dirias afirmativas (reviso notas, registe-offs,
aprovaes, etc) e que os tamanhos de amostragem siga EUA Sarbanes-Oxley
requisitos de teste com base na freqncia do controle, isto ,
25 amostras por dia, para 10 por semana, e trs para mensal.
Controles como estratgia de recursos de implementao
Os controles so qualquer dispositivo regulamentar, sistema, procedimento ou
processo
que regula ou controla alguma atividade operacional. Os controles de
segurana
necessidade de abordar as pessoas, tecnologia e processos. Os controles
devem
necessariamente resultar em uma ao corretiva ou preventiva, abrindo
caminho
para a melhoria das medidas de segurana da informao.
Por exemplo, o controle de acesso um controle preventivo que
impede o acesso no autorizado que pode resultar em danos ao
sistemas. A deteco de intruso um controle detetive porque
que permite o acesso no autorizado a ser detectado. Backup e
procedimentos de restaurao so um controle corretivo que permite que um
sistema a ser recuperado se o dano to extensa que os dados so perdidos
ou irreparavelmente danificados. s vezes, os controles de compensao
so mencionados, que so semelhantes aos controles corretivos, mas
compensar alguma falha de segurana.
Produtos de segurana fornecem muitas vezes vrias combinaes destes
diferentes tipos de comandos. Um controle tpico um firewall, que
um produto que filtra o trfego de rede para limitar o que os protocolos
(ou portas) pode ser usado para entrar ou sair de uma rede interna, como
bem como qual o endereo ou intervalo de endereos permitido como uma
fonte
e destino. Este um controlo preventivo, pois impede
O acesso s portas de rede especficas, protocolos ou destinos
no especificamente permitido. O mesmo pode ter mais de firewall
recursos avanados que permitem examinar de rede de entrada
trfego de malware e envia alertas para um centro de operaes
se passar atravs do dispositivo. Este um controle de detetive.
O firewall tambm pode ter um recurso que permite que as operaes de
desviar o trfego de entrada para um site de backup (embora este fosse
normalmente ser realizado por mudanas no roteador de Internet) se,
aps responder ao alerta de vrus, eles descobrem que um vrus tem
Triggers
Diminui
Detetive
Controle
ATAQUE
Preventivo
Controle
Impacto
Vulnerabilidade
Corretivo
Controle
Compensando
Controle
Exposio Tipos 3.18-controle e Efeito
Pgina 189
189
ISACA. Todos os direitos reservados.
A equipe de segurana da informao pode ser consultada durante o projeto
e fases de desenvolvimento para avaliar a capacidade das opes de soluo
para satisfazer os requisitos. Raramente uma soluo perfeita encontrada, e
sempre haver trade-offs entre os requisitos de segurana,
desempenho, custos e outras exigncias. importante que o
gerente de segurana da informao exerccio diligncia na identificao e
comunicar deficincias de solues e desenvolvimento de atenuante
ou controles de compensao conforme necessrio. A segurana da
informao
gerente tambm deve empregar recursos internos ou externos
rever prticas de codificao e lgica de segurana durante o desenvolvimento
para
assegurar que as prticas adequadas esto sendo empregados.
Durante as fases de qualidade e de aceitao, a informao
gerente de segurana devem coordenar testes de originalmente
estabeleceu requisitos de segurana funcional, alm de testes
interfaces do sistema em busca de vulnerabilidades. Este teste deve verificar
que os mecanismos de segurana do sistema atendem os objetivos de controle
e
fornecer equipe de segurana da informao com necessria administrativa
e as funes de feedback. Se falhas de segurana funcionais,
codificao de vulnerabilidades ou falhas lgicas explorveis so
identificados,
o gerente de segurana da informao deve trabalhar com o projeto
equipe para priorizar e resolver problemas. Se os problemas no podem ser
reparados
ou mitigados antes de lanamento planejado, a gerncia snior
equipe deve analisar as questes de segurana e os riscos associados para
decidir
se o sistema deve ser implantado antes da resoluo de identificado
vulnerabilidades. Se o sistema deve ser implantado com o no resolvido
questes de segurana, o gerente de segurana deve garantir que haja
um calendrio acordado-on para resolver problemas ou, se no houver vivel
resoluo disponvel no momento, acompanhar e reavaliar periodicamente o
emitir e para determinar se uma resoluo vivel tornou-se
disponvel.
O gerente de segurana deve garantir que a segregao adequada
dos deveres considerado em todo o SDLC. Pessoal
promovendo cdigo para produo (implantao) no deve ser o
mesmo pessoal que desenvolveu, testado ou aprovado o cdigo.
Planos de testes e controle de qualidade tambm deve ser objeto de reviso
pelo
superviso adequada.
Gesto
Mtricas Management (tticos) ou so aqueles necessrios para gerenciar
o programa de segurana, tais como o nvel de polticas e normas
compliance, gerenciamento de incidentes e eficcia de resposta,
mo de obra e utilizao de recursos. No gerenciamento de segurana
nvel, informaes sobre o cumprimento, o risco emergente, de recursos
utilizao, o alinhamento com os objetivos de negcio, etc, sero necessrios
para tomar as decises necessrias para a gesto eficaz. O
gerente de segurana da informao requer tambm um resumo das tcnicas
mtricas para garantir que a mquina est a funcionar correctamente em
gamas aceitveis, tanto quanto o condutor de um veculo quer
saber que h combustvel no tanque e que a presso do leo e da gua
temperatura est em uma faixa aceitvel.
Operacional
Mtricas operacionais so a tcnica mais comum e
mtricas processuais como vulnerabilidades abertas, gerenciamento de patches
mtricas de status, etc puramente tcnicos ser til principalmente para TI
gerentes de segurana e administradores de sistema. Estes incluem o
medidas de mitigao de malware usuais, os dados de configurao de
firewall,
comentrios syslog e outros assuntos operacionais.
H um certo nmero de outras consideraes para desenvolver
mtricas. Os atributos essenciais que devem ser considerados incluem:
Gerencivel -Este atributo sugere que os dados devem ser
prontamente recolhida, condensada, classificado, armazenados,
correlacionados, revisado
e compreendido.
Significativa atributo Isto sugere que os dados devem ser
compreensvel para o destinatrio, relevante para os objectivos e
fornecer uma base para as decises necessrias para gerir.
acionvel -Assim como uma bssola deixa claro para um piloto em que
direo a cabea para permanecer no curso, por isso deve gesto
mtricas deixa claro se a virar esquerda ou direita. Informaes
que convida apenas uma investigao mais aprofundada pode ser apenas
desorganizao.
inequvoca -informao que no est claro pode no ser
ser til.
Confivel - essencial para ser capaz de contar com os vrios
mecanismos de feedback e que eles fornecem o mesmo resultado para
as mesmas condies de cada vez que so medidos. Por exemplo,
quando o tanque de gasolina realmente vazio, o medidor deve indicar que
cada vez que medido. Alm disso, para ser confivel, a mtrica
deve medir o que voc pensa que est medindo, e no um no relacionado
evento ou artefato esprio.
este tipo de anlise muitas vezes pode revelar padres de ameaas e riscos que
, caso contrrio, passar despercebidas.
Todos os controles-chave devem ser monitorados em tempo real, se
possvel. Log
opinies e IDS alertas so aps o fato, os controles policiais e
no o ideal para garantir reaco rpida.
Resultados do monitoramento contnuo pode ser enrolado para fornecer
garantia para a gesto que a segurana est fornecendo o
nveis adequados de garantias operacionais e objetivos de controle
esto sendo atendidas.
3.17 comum de informaes de segurana
Desafios programa
Iniciar ou expandir um programa de segurana, muitas vezes, resultar em uma
surpreendente gama de impedimentos inesperados para as informaes
gerente de segurana. Estas podem incluir:
resistncia organizacional devido a mudanas nas reas de
responsabilidade instaurada pelo programa
A percepo de que o aumento de segurana vai reduzir o acesso necessrio
para funes de trabalho
excesso de confiana na mtricas subjetivas
A falta de estratgia
Hipteses de conformidade processual sem
superviso confirmando
gerenciamento de projetos, iniciativas de segurana ineficaz atrasar
Anteriormente sem serem detectados, quebrado ou um software de
segurana de buggy
Pgina 200