Gestão da segurança da informação: NBR 27001 e NBR 27002

Gestão da Segurança da Informação – NBR 27001 e NBR 27002......Page 3
Sumário......Page 7
A metodologia da ESR......Page 17
Convenções utilizadas neste livro......Page 18
Permissões de uso......Page 19
Sobre o autor......Page 20
Exercício de nivelamento 1 e
Fundamentos de segurança da informação......Page 21
Definições......Page 22
Modelos de ataque......Page 23
Formas de ataque......Page 24
Serviços de segurança......Page 25
Segurança da informação......Page 27
Preparando a organização......Page 28
Análise/avaliação de riscos......Page 29
Controles para a segurança da informação......Page 30
Itens relevantes para a segurança da informação......Page 32
Fatores críticos para o sucesso da segurança da informação......Page 33
Atividade 1.2 – Identificando vulnerabilidades......Page 35
Atividade 1.3 – Identificando a forma de ataque......Page 36
Atividade 1.4 – Associando categorias de serviços de segurança......Page 37
Atividade 1.5 – Estudo de caso: sua organização......Page 38
Estrutura da norma......Page 39
Seção 5 – Políticas de segurança da informação......Page 40
Seção 6 – Organização da segurança da informação......Page 41
Seção 7 – Segurança em Recursos Humanos......Page 43
Exercício de fixação 3 e
Seção 7 – Segurança em Recursos Humanos......Page 44
Seção 8 – Gestão de ativos......Page 45
Exercício de fixação 4 e
Seção 8 – Gestão de ativos......Page 46
Seção 9 – Controle de acesso......Page 47
Exercício de fixação 6 e
Seção 10 – Criptografia......Page 50
Seção 11 – Segurança física e do ambiente......Page 51
Exercício de fixação 7 e
Seção 11 – Segurança física e do ambiente......Page 52
Seção 12 – Segurança nas operações......Page 53
Exercício de fixação 8 e
Seção 12 – Segurança nas operações......Page 57
Seção 13 – Segurança nas comunicações......Page 58
Exercício de fixação 9 e 
Seção 13 – Segurança nas comunicações......Page 59
Seção 14 – Aquisição, desenvolvimento e manutenção de sistemas......Page 60
Exercício de fixação 10 e
Seção 14 – Aquisição, desenvolvimento e manutenção de sistemas......Page 62
Seção 15 – Relacionamento na cadeia de suprimento......Page 63
Seção 16 – Gestão de incidentes de segurança da informação......Page 64
Exercício de fixação 12 e
Seção 16 – Gestão de incidentes de segurança da informação......Page 65
Seção 17 – Aspectos da segurança da informação na gestão da continuidade do negócio......Page 66
Seção 18 – Conformidade......Page 67
Exercício de fixação 14 e
Seção 18 – Conformidade......Page 68
Atividade 2.2 – Entendendo a norma NBR ISO/IEC 27002:2013......Page 69
Atividade 2.3 – Trabalhando com a norma NBR ISO/IEC 27002:2013......Page 70
Atividade 2.4 – Estudo de caso: sua organização......Page 71
Exercício de nivelamento 1 e
SGSI......Page 73
Modelo PDCA......Page 74
Sistema de Gestão da Segurança da Informação (SGSI)......Page 75
Liderança......Page 76
Planejamento......Page 77
Apoio......Page 78
Operação......Page 81
Avaliação do desempenho......Page 82
Anexo A......Page 83
Lista de verificação para implantação de um SGSI......Page 84
Atividade 3.3 – Planejamento......Page 87
Atividade 3.5 – Documentos......Page 88
Atividade 3.6 – Operação......Page 89
Exercício de nivelamento 1 e
Política de segurança da informação......Page 91
Diagrama......Page 92
Escopo......Page 93
Questionamentos importantes......Page 94
Exercício de fixação 3 e
Identificar a legislação......Page 95
Análise das necessidades de segurança......Page 96
Documentação......Page 97
Comunicação da política e treinamento......Page 98
Boas práticas......Page 99
Boas práticas......Page 100
Boas práticas para escrever o texto da política......Page 101
Atividade 4.1 – Entendendo a política de segurança da informação......Page 102
Atividade 4.4 – Desenvolvendo uma política de segurança na sua organização......Page 103
Exercício de nivelamento 1 e
Gestão de riscos......Page 107
Gestão de riscos......Page 108
Análise e avaliação de riscos......Page 109
Analisando os riscos......Page 110
Vulnerabilidades e ameaças......Page 111
Análise de impactos......Page 113
Exercício de fixação 4 e
Matriz de relacionamento......Page 114
Avaliação de riscos......Page 115
Exemplo 2 – Análise de risco......Page 116
Exercício de fixação 6 e
Tratamento de riscos de segurança......Page 118
Exercício de fixação 7 e
Tratamento de riscos......Page 119
Tratamento de riscos na segurança de acesso......Page 120
Tratamento de riscos na segurança das comunicações......Page 123
Tratamento de riscos e negócios......Page 124
Comunicação de riscos......Page 127
Atividade 5.2 – Realizando a gestão de riscos......Page 129
Atividade 5.3 – Realizando a gestão de riscos......Page 130
Atividade 5.4 – Realizando a gestão de riscos na sua organização......Page 131
Objetivos......Page 133
Procedimentos e responsabilidades operacionais......Page 134
Proteção contra softwares maliciosos......Page 135
Cópias de segurança......Page 136
Exercício de fixação 4 e
Política de backups......Page 137
Gerência de segurança das redes......Page 138
Monitoramento......Page 139
Atividade 6.1 – Segurança da informação na gerência de operações e comunicações......Page 141
Atividade 6.2 – Implementando a segurança da informação na gerência de operações e comunicações de sua organização......Page 142
Política de controle de acessos......Page 143
Controles de acesso lógico......Page 144
Exercício de fixação 2 e 
Controles de acesso lógico......Page 146
Controles de acesso físico......Page 147
Exercício de fixação 3 e
Controles de acesso físico......Page 148
Controles ambientais......Page 149
Segurança de Recursos Humanos......Page 150
Exercício de fixação 5 e
Segurança de Recursos Humanos......Page 151
Atividade 7.2 – Políticas de acesso......Page 153
Atividade 7.3 – Implementando a segurança de acesso e ambiental na sua 
organização......Page 154
Importância da infraestrutura......Page 157
Exercício de fixação 1 e
Atribuição de responsabilidades......Page 158
Tratamento de ativos......Page 159
Inventário de ativos......Page 160
Proprietário de ativo......Page 161
A razão do tratamento diferenciado......Page 162
Exercício de fixação 6 e
Possíveis riscos......Page 163
Acordos específicos......Page 164
Gerência de serviços de terceiros......Page 165
Atividade 8.2 – Realizando a segurança organizacional......Page 167
Atividade 8.3 – Implementando a segurança organizacional......Page 168
Continuidade de negócios......Page 171
Exercício de fixação 1 e
Gestão da continuidade de negócios......Page 172
Segurança da informação e gestão da continuidade de negócios......Page 173
Plano de continuidade de negócios......Page 174
Desenvolvimento e implementação......Page 175
Testes......Page 176
Manutenção e reavaliação......Page 177
Exercício de nivelamento 2 e
Gestão de incidentes de segurança......Page 178
Procedimentos da gestão de incidentes de segurança......Page 179
Fases do planejamento......Page 180
Exercício de fixação 8 e
Análise de impacto......Page 182
Análise de alternativas de recuperação......Page 183
Relatório de alternativas de recuperação......Page 184
Treinamentos e testes......Page 185
Boas práticas......Page 186
Atividade 9.2 – Executando a continuidade de negócios......Page 189
Atividade 9.3 – Executando a continuidade de negócios e a gestão de incidentes na sua organização......Page 190
Exercício de nivelamento 1 e
Conformidade......Page 193
Direito digital......Page 194
Legislação e direito digital no Brasil......Page 195
Legislação aplicável à segurança da informação......Page 196
Exemplos de infrações digitais......Page 197
Direito digital e necessidades atuais......Page 198
Lei de Acesso a Informação......Page 199
Propriedade intelectual......Page 200
Cuidados com a propriedade intelectual......Page 201
Proteção de registros organizacionais......Page 202
Prevenção do mau uso de recursos de processamento 
da informação......Page 203
Controles de criptografia......Page 204
Normas de segurança no Brasil......Page 205
Evolução das normas......Page 206
Segurança da informação na Administração Pública Federal......Page 207
Conformidade técnica......Page 210
Auditoria de sistemas de informação......Page 211
Outros padrões relevantes......Page 212
Outras legislações pertinentes......Page 213
Atividade 10.2 – Realizando a conformidade......Page 215
Atividade 10.3 – Executando a conformidade na sua organização......Page 216
Bibliografia......Page 217