Professional Documents
Culture Documents
13 de maio de 2011
1 / 10
ndice
2 - NORMA AS/NZS 4360...........................................................................................................04 3 - MTODO OCTAVE.................................................................................................................05 4 - NORMA ISO/IEC TR 13335...................................................................................................06 5 CERTIFICAO CISSP.........................................................................................................07 6 NIST 800-XXX........................................................................................................................07
7 - CONCLUSO..........................................................................................................................09
REFERNCIAS BIBLIOGRFICAS..........................................................................................10
2 / 10
O PCI um sistema de segurana utilizado pela indstria de cartes de pagamento (crdito e dbito) no sentido reforar a proteo das informaes dos cartes. Atravs de uma grande extenso de requisitos de segurana, o sistema alimenta cada objetivo de controle. Para isso, doze requisitos so detalhados em mais de duzentos subrequisitos que determinam as tecnologias, polticas e procedimentos necessrios para proteger os dados dos titulares de carto. O PCI concentra-se em seis objetivos de controle de alto nvel. A verso 1.1 do PCI DSS, lanada em setembro de 2006, a primeira atualizao da estrutura desse padro. Essa verso foi desenvolvida visando ampliao da verso anterior, com maior nfase segurana de aplicativos. Como o sistema evolui constantemente, as empresas que o utilizam devem mant-lo atualizado atravs da validao anual da conformidade com o PCI DSS.
Implicaes do padro PCI agora e no futuro Considerando a enorme responsabilidade das empresas que atuam no ramo de cartes de pagamento no que se refere proteo das informaes, o padro PCI apresenta-se como uma ferramenta extremamente para isso. No entanto, pelo padro PCI, por mais dispersos que sejam os seus negcios, as empresas devem ter conhecimento de onde esto armazenados todos os dados dos titulares de carto e assegurar que esses dados e o acesso a essas informaes estejam protegidos. Alm disso, devem provar que tomaram as medidas de precaues apresentadas pelo padro e que monitoram ativamente os acessos no autorizados aos sistemas de dados dos cartes e dos dados do titular do carto.
3 / 10
Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP 2. NORMA AS/NZS 4360 - AUSTRALIAN STANDARD FOR RISK MANAGEMENT
A norma AS/NZS 4360 foi elaborada pela Standards Austrlia e Standards New Zealand Australiana que fornece orientaes para gerenciamento de riscos de qualquer natureza. Partindo do princpio de que a gesto de riscos tem como finalidade o equilbrio entre as oportunidades de ganhos e a reduo de perdas, essa norma considera o risco como uma exposio s conseqncias da incerteza ou como potenciais desvios do que foi planejado ou do que esperado. Dessa forma, avalia tanto os riscos com resultados positivos (ganhos potenciais) como os riscos com resultados negativos (perdas potenciais), fornecendo uma viso nica no gerenciamento de riscos. De acordo com a norma AS/NZS 4360, a gesto de riscos envolve o estabelecimento de uma infra-estrutura e cultura apropriadas, bem como a aplicao de um mtodo lgico e sistemtico para estabelecer contextos, identificar, analisar, avaliar, tratar, monitorar e comunicar os riscos associados a qualquer atividade, funo ou processo, de modo a minimizar perdas e maximizar ganhos para as organizaes. As principais etapas do processo de gesto de riscos so: Comunicar e consultar as partes envolvidas (interna e externamente) em cada etapa do processo de gesto de riscos e em relao ao processo como um todo. Estabelecer os contextos interno e externo, nos quais ser desenvolvido o restante do processo, bem como os critrios avaliadores dos riscos e a estrutura de anlise desses riscos. Identificar os riscos, ou seja, onde, quando, por que e como os eventos podem impedir, atrapalhar, atrasar ou melhorar a consecuo dos objetivos. Analisar os riscos, determinado as conseqncias, a probabilidade e o nvel de risco, considerando as diversas conseqncias potenciais e como elas podem ocorrer.
4 / 10
O OCTAVE um mtodo de avaliao de riscos, de fcil implantao, que possui os seguintes objetivos: Fazer um balano das informaes crticas, necessidades do negcio,
atualmente conhecidos; Gerenciar e controlar todas as avaliaes de riscos da organizao; Desenvolver uma estratgia de proteo, considerando a poltica de
segurana, gerenciamento administrativo e tecnolgico; Estabelecer uma equipe multidisciplinar que possa desenvolver a
segurana da informao da empresa. O foco desse mtodo est nas prticas de segurana e nos riscos nicos de cada empresa, principalmente os operacionais, e no somente na tecnologia disponvel.
5 / 10
Assim, seu uso resume-se basicamente nos seguintes pontos: auto direcionamento das aes de avaliao; foco nos riscos operacionais e estratgicos; formao de uma equipe para implantao e anlise de riscos operacionais e prticas de segurana.
ISO/IEC TR 13335 uma norma que descreve tcnicas de gesto de segurana para a rea de tecnologia da informao, constituda de cinco partes, quais sejam: 1- Conceitos e modelos para a segurana de TI 2- Gerir e planear a segurana de TI 3- Tcnicas de gesto da segurana de TI 4- Seleo de proteo 5- Orientaes de gesto na segurana de redes A parte 1 (ISSO/IEC 13335-1) oferece uma viso de alto nvel da gesto com em conceitos e modelos de gesto, planejamento, implantao e operaes de segurana da TI. A parte 2 (ISO/IEC 13335-2) refere-se s tcnicas de gesto de risco apropriadas na segurana das tecnologias da informao. J as partes 3, 4 e 5 constituem-se de documentos tcnicos, que se referem seleo de protees e o modo como pode ser suportada pelo uso de controles e orientao dos responsveis pela gesto de segurana quanto segurana de redes e comunicaes.
6 / 10
O CISSP (Certified Information Systems Security Professional), certificado internacional emitido pelo International Information Systems Security Certification Consortium ou (ISC) o mais respeitado certificado na rea de segurana da informao, porm pouco comum no Brasil. Para a obteno desse certificado o interessado deve preencher os seguintes requisitos: passar por uma prova e ser aprovado; concordar e assinar o Cdigo de tica do (ISC); ter, no mnimo, trs anos de experincia profissional em alguns dos 10 domnios de conhecimento em segurana da informao testados pela prova de certificao e ser indicado por outro CISSP, empregador ou outra fonte digna de confiana.
6. NIST 800-XXX
O NIST - National Institute of Standards and Technology, Instituto Nacional de Padres e Tecnologia, uma agncia governamental do Departamento de Comrcio dos Estados Unidos, cuja funo promover padres e tecnologias para ampliar a segurana da informao. A norma NIST 800-30 publicada pelo NIST fornece uma base para o desenvolvimento de programa de gesto de riscos e tambm informaes sobre o custo efetivo dos controles de segurana. De acordo com a norma NIST 800-30, o processo de gesto de riscos deve ter como objetivo proteger a capacidade da organizao para realizar a sua misso e ser uma funo essencial de gesto, sendo este processo constitudo de trs etapas: avaliao do risco; reduo do risco e evoluo e acompanhamento. Assim, o mtodo de gerenciamento realizado da seguinte forma:
7 / 10
8 / 10
Da anlise dos assuntos abordados neste trabalho, conclui-se que, para que a tecnologia da informao atue com eficincia e eficcia, proporcionando resultados positivos para os seus usurios, necessrio que haja um efetivo e rigoroso gerenciamento das informaes manipuladas. O usurio deve estar atento quanto importncia desse gerenciamento, o que viabilizar maior garantia de controle e segurana das informaes. Deste modo, alm de implementar sistemas de gerenciamento, o usurio deve atentar-se para a necessidade de mantlos atualizados. Por outro lado, as instituies voltadas para o fornecimento de servios de gerenciamento so responsveis por garantir a efetividade desse servio, por meio de sistemas eficazes de identificao, anlise, determinao, tratamento e controle de riscos e ameaas, de forma a reduzi-los ou elimin-los; alm de dispor de profissionais capacitados para o desenvolvimento das atividades de gerenciamento.
9 / 10
10 / 10