Questões sobre Segurança da Informação

fornecer diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficácia dos controles de Sistemas de Informação implementados, dos processos de Sistemas de Informação e do Sistema de Gestão da Segurança da Informação.

estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a Gestão de Segurança da Informação em uma organização. Os objetivos definidos nessa Norma proveem diretrizes gerais sobre as metas geralmente aceitas para a Gestão da Segurança da Informação.

fornecer diretrizes para o gerenciamento de riscos dos Sistemas de Informação. É constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles.

fornecer diretrizes referentes à recuperação e Continuidade de Negócio. O título original dessa Norma é "Guidelines for information and communications technology disaster recovery services".

fornecer um guia de Gestão da Segurança da Informação específico para empresas de telecomunicação. Essa Norma especifica os requisitos para credenciamento de entidades de auditoria e para certificação de Sistemas de Gestão da Segurança da Informação.

Manter e melhorar o SGSI.

Planejar e implantar o SGSI.

Monitorar e analisar criticamente o SGSI.

Estabelecer e gerenciar o SGSI.

Implementar e operar o SGSI.

Remoção de propriedade.

Manutenção dos equipamentos.

Entrega de serviços.

Segregação de funções.

Gestão de capacidade.

Para prevenir contra ataques de negação de serviço deve-se classificar as informações de forma a esclarecer a cada colaborador sobre o que pode ou não ser divulgado.

A autorização de acesso para prestadores de serviço, contratados para consultorias ou quaisquer outros serviços não precisa ser formal ou antecipada, desde que essas pessoas sejam acompanhadas por um funcionário contratado.

Os equipamentos de transmissão de dados devem ser mantidos em locais seguros, visando evitar o acesso não autorizado a informações por meio de interceptação (sniffer).

O armazenamento de mídias de backup deve ser próximo de onde se efetua o processamento dos dados.

A fiação elétrica para o CPD deve ser compartilhada com outras áreas e instalações para que não haja penetração de ruído.

Ataques de disfarce, repetição, modificação de mensagem e negação de serviço são difíceis de impedir absolutamente, devido à grande variedade de vulnerabilidades físicas, de software e de rede em potencial.

A única forma de negação de serviço é a interrupção de uma rede inteira, seja desativando a rede ou sobrecarregando-a com mensagens, a fim de prejudicar o desempenho.

Um disfarce ocorre quando alguma parte de uma mensagem legítima é alterada ou quando as mensagens são adiadas ou reordenadas para produzir um efeito não autorizado.

Um ataque de análise de tráfego envolve a captura passiva de uma unidade de dados e sua subsequente retransmissão para produzir um efeito não autorizado.

Ataques de análise de tráfego são fáceis de detectar e de impedir, assim como ataques de negação de serviço.