Upload
ane-priscila
View
223
Download
1
Embed Size (px)
DESCRIPTION
ISO 13335
Citation preview
História
De acordo com a ISO/IEC TR 13335 parte 3 - Techniques for the management of
it security. Publicada em 1998, apresenta técnicas de gestão de segurança para a área de
tecnologia da informação. Pode ser utilizada para trabalhar em conjunto com a BS
7799-2, que sugere quais os processos devem ser implantados para conduzir a gestão de
segurança, enquanto que a ISO 13335-3 descreve as técnicas.
Fundamentos da Gestão de Segurança
Governo e organizações comerciais dependem muito do uso da informação para
conduzir suas atividades empresariais. Compromisso de confidencialidade, integridade,
disponibilidade, não repúdio, responsabilidade, autenticidade e confiabilidade de uma
organização ativa pode ter um impacto adverso. Consequentemente há uma necessidade
crítica para proteger as informações e gerenciar a segurança de sistemas de TIC dentro
das organizações. Esta obrigação de proteger informações é particularmente importante
hoje em dia, o ambiente, porque muitas organizações estão interna e externamente
conectadas por redes de sistemas de TIC não necessariamente controlados por suas
organizações. Assim, a legislação em muitos países requer que a Administração tomar
as medidas adequadas para mitigar relacionado com o negócio de risco eo usa de
sistemas de TIC. Essa legislação pode abranger não só a proteção da privacidade /
dados, mas também os mercados de saúde e financeiros, entre outros.
Abrangência da Norma
As informações fornecidas na ISO / IEC 13335-1 podem não ser diretamente
aplicável a todas as organizações. Em particular, as pequenas organizações não são
susceptíveis de ter todos os recursos disponíveis para executar completamente algumas
das funções descritas. Nestas situações, é importante que os conceitos e as funções
básicas sejam tratados de uma maneira apropriada para a organização. Mesmo em
grandes organizações, algumas das funções discutidas nesta parte não podem ser
realizadas exatamente como descritas.
Processos
Os processos são constituído por um conjunto de orientações genéricas de gestão
da segurança dos TI, com 5 partes produzidas nos últimos oito anos, alguns com
atualizações recentes:
2004 - Parte 1: (ISO / IEC 13335-1 de tecnologia da informação - Técnicas de
segurança - Gestão de informação e comunicação de segurança de tecnologia. Parte 1: -
Conceitos e modelos de informação e tecnologia de comunicações de gestão de
segurança) fornece uma visão geral dos conceitos fundamentais e modelos utilizados
para descrever a gestão da segurança das TIC.
1997 - Parte 2: (ISO / IEC 13335-2 Tecnologia de Informação Técnicas de segurança -
Gestão de informação e comunicação de segurança de tecnologia - Parte 2: - Técnicas
de informação e tecnologia de comunicações de gerenciamento de riscos de segurança,
a ser publicado) descreve técnicas de gestão de riscos de segurança apropriadas para o
uso por aqueles envolvidos com atividades de gestão.
Note-se que as partes 3, 4 e 5 são Relatórios Técnicos. Como se observa no prefácio,
ISO / IEC 13335 Parte 1 substitui ISO / IEC TR 13335 Parte 1 e Parte 2. ISO / IEC
13335 Parte 2, quando publicado, irá substituir a norma ISO / IEC TR 13335 Parte 3 e
Parte 4.
1998 - Parte 3: (ISO / IEC TR 13335-3 tecnologia da informação - Técnicas de
segurança - Diretriz para a gestão da segurança de Tecnologia da Informação - Parte 3:
Técnicas para a gestão de segurança de Tecnologia da Informação) descreve técnicas de
gestão de riscos de segurança apropriadas para o uso por aqueles que estão envolvidos
com a gestão atividades.
2000 - Parte 4: (ISO / IEC TR 13335-4 Tecnologia da informação - Técnicas de
segurança - Diretriz para a gestão de segurança de Tecnologia da Informação - Parte 4: -
Seleção de salvaguardas) fornece orientação para a seleção de salva arquivos, e como
isso pode ser apoiada pelo uso de modelos de referência e os controlos. Ele também
descreve como este complementa as técnicas de segurança descritos na Parte 2, e como
métodos de avaliação adicionais podem ser usados para a seleção de salvaguardas.
2001 - Parte 5: (ISO / IEC TR 13335-5 tecnologia da informação - Técnicas de
segurança - Diretriz para a gestão da segurança de Tecnologia da Informação - Parte 5: -
Gestão orientação sobre segurança de rede) fornece orientação no que diz respeito às
redes e comunicações para os responsáveis pela gestão de TI segurança. Esta orientação
apoia a identificação e análise das comunicações fatores que devem ser levados em
conta para estabelecer os requisitos de segurança de rede relacionados. Ele também
contém uma breve introdução aos possíveis áreas de salvaguarda.
Política de segurança de TI
Uma política de segurança corporativa de TI deve ser produzida baseada de
acordo com a estratégia e objetivos de segurança de TI sendo necessário estabelecer e
manter uma política corporativa de segurança consistente com o negócio, segurança,
políticas de TI, legislação e regulamentação.
Atividades relevantes de segurança descritas na política de segurança podem ser
baseadas nas estratégias e objetivos organizacionais, nos resultados das análises de
risco, revisões, acompanhamento de resultados e nos relatórios de incidentes relevantes.