NORMA NBR ISO/IEC 17799
Descreve os controles de segurança que são requeridos no
ambiente das empresas e disserta que os sistemas de gestão de segurança da
informação devem se focar na gestão de riscos, a fim de atingir os objetivos
de: melhorar a informação empresarial a respeito dos sistemas de tecnologia da
informação a fim de melhorar sua segurança; quantificar e analisar fraquezas
eventuais dos ativos de informação e permitir que a gerência tome decisões
fundamentadas sobre gestão de risco, eventualmente justificando despesas
alocadas a esse fim. Foi revisada em junho de 2005, passando por algumas
modificações estruturais, tais como o incremento de dezessete controles novos
admitidos, um novo capítulo sobre a Gestão de Incidentes de Segurança da
Informação. Ela procura cobrir diversos tópicos referentes à
área de segurança em Tecnologia da Informação e, assim, possui um grande número
de controles e requerimentos os quais, ao serem cumpridos, podem melhorar ou,
de certa forma, garantir a segurança das informações em uma empresa.
NORMA RFC 2196
Descreve políticas e procedimentos de segurança para sites
com sistemas na Internet. Tem o objetivo de ser um guia para desenvolvimento de
políticas de segurança em informática e para os procedimentos de sites que apresentam
sistemas disponíveis na Internet. Apresenta como propósito o de ser uma espécie
de guia prático aos gestores, para tentar fornecer maior segurança a uma grande
variedade de informações e serviços. Os assuntos abordados incluem os conteúdos
de políticas de segurança e sua formação, alguns tópicos técnicos específicos
de segurança de redes, e possíveis atitudes que devem ser tomadas frente a
incidentes de segurança.
NORMA ISO/IEC 15408
Trata-se da segurança dos processos de desenvolvimento,
manutenção e análise de sistemas informatizados e apresenta-se subdividida em
três partes que são: definições e metodologia, requisitos de segurança,
metodologias de avaliação. Ela surgiu visando garantir a segurança do software
e procurando satisfazer os princípios da segurança da informação. Aborda as
definições dos componentes técnicos de segurança os quais visam um processo de
avaliação de sistemas. Esse processo é conhecido como Critérios Comuns e seu
objetivo principal é discutir definições, metodologias e avaliações.
Nenhum comentário:
Postar um comentário