Desenvolver e implementar documentados de segurança políticas, normas, procedimentos e diretrizes

Video: Segurança da Informação - Normas e Procedimentos

políticas de segurança, normas, procedimentos e diretrizes são todos diferentes uns dos outros, mas eles também interagir uns com os outros em uma variedade de maneiras. É importante entender essas diferenças e relacionamentos, e também para reconhecer os diferentes tipos de políticas e suas aplicações.

Para desenvolver e implementar segurança de informações políticas, padrões, diretrizes e procedimentos com sucesso, você deve garantir que seus esforços são consistentes com a organização da missão, metas e objetivos.

Políticas, normas, procedimentos e diretrizes todos trabalhar juntos como os planos para um programa de segurança de informação bem sucedida. Eles

  • Estabelecer governança.
  • Fornecer orientações úteis e apoio à decisão.
  • Ajudar a estabelecer autoridade legal.

Demasiadas vezes, as soluções técnicas de segurança são implementadas sem esses importantes projetos. Os resultados são muitas vezes caros e ineficazes controles que não são uniformemente aplicadas e não suportam uma estratégia global de segurança.

Governança é um termo que representa coletivamente o sistema de políticas, normas, diretrizes e procedimentos que ajudam a orientar as operações e decisões de uma organização do dia-a-dia.

políticas

UMA política de segurança constitui a base do programa de segurança da informação de uma organização. RFC 2196, O Manual de Segurança do site, define uma política de segurança como “uma declaração formal de regras pelas quais as pessoas que tenham acesso a ativos de tecnologia e informação de uma organização devem respeitar.”

Os quatro principais tipos de políticas são

  • Alta Administração: Uma declaração de gestão de alto nível de objetivos de uma organização de segurança, responsabilidades organizacionais e individuais, ética e crenças, e as exigências e controles gerais.
  • regulamentar: políticas altamente detalhadas e concisas normalmente mandatado pelo federal, estadual, indústria ou outros requisitos legais.
  • Consultivo: Não é obrigatório, mas altamente recomendado, muitas vezes com penalidades ou consequências específicas em caso de incumprimento. A maioria das políticas se enquadram nesta categoria.
  • Informativo: Apenas informa, sem exigências explícitas para o cumprimento.


Normas, procedimentos e diretrizes estão a apoiar elementos de uma política e fornecer detalhes específicos de implementação da política.

ISO / IEC 27002, Tecnologia da Informação - Técnicas de segurança - Código de Boas Práticas para a Gestão da Segurança da Informação, é um padrão internacional para a política de segurança da informação. ISO / IEC é a Organização Internacional de Normalização e da Comissão Electrotécnica Internacional. ISO / IEC 27002 consiste em 12 secções que em grande parte (mas não completamente) se sobrepõem os domínios oito (ISC) 2 de segurança.

Video: Curso Online de Licenciamento Ambiental – das Diretrizes e Procedimentos- Apresentação

Padrões (e linhas de base)

Padrões são, requisitos obrigatórios específicos que ainda definir e apoiar as políticas de nível superior. Por exemplo, um padrão pode exigir a utilização de uma tecnologia específica, tal como um requisito mínimo para a codificação dos dados sensíveis usando AES. Um padrão pode ir tão longe como para especificar o exato marca, produto ou protocolo a ser implementado.

As linhas de base são semelhantes e relacionados aos padrões. Uma linha de base pode ser útil para identificar uma base consistente para a arquitetura de segurança da organização, tendo em conta os parâmetros específicos do sistema, tais como diferentes sistemas operacionais. Depois de linhas de base consistentes são estabelecidas, padrões apropriados podem ser definidos em toda a organização.

Algumas organizações chamam seus padrões de documentos de configuração (e outros ainda chamá-los de ambientes operacionais padrão) em vez de linhas de base. Esta é uma prática comum e aceitável.

procedimentos

procedimentos fornecer instruções detalhadas sobre como implementar políticas específicas e satisfazer os critérios definidos nos padrões. Procedimentos podem incluir Procedimentos Operacionais Padrão (POPs), livros funcionam, e guias do usuário. Por exemplo, um procedimento pode ser um guia passo-a-passo para criptografar arquivos confidenciais usando um produto de criptografia de software específico.

Orientações

Orientações são semelhantes aos padrões, mas eles funcionam como recomendações e não como requisitos obrigatórios. Por exemplo, uma orientação pode fornecer dicas e recomendações para determinar a sensibilidade de um arquivo e se a criptografia é necessária.


Publicações relacionadas
Elevar o perfil da saúde e segurança
Política de privacidade truste de ebay
Trabalhos de segurança da informação: legal, regulamentos, investigações e cumprimento
Trabalhos de segurança da informação: governança e gestão de risco
Normas de segurança da informação: cobit e nist 800-53
Normas de segurança da informação: a iso 27001
O que você precisa saber sobre a cloud security alliance (csa) para um trabalho em segurança da informação
Linux: 2 partes de auditorias de segurança de computador
Linux: auditorias de segurança de computador
O estabelecimento de políticas e procedimentos de depósito de segurança
Estabelecer requisitos de manipulação para proteger dados
Integrar considerações de risco de segurança na estratégia e prática de aquisição
Padrão de segurança de dados da indústria de cartões de pagamento (pci dss)
Frameworks de controle de segurança
Avaliar a sua infra-estrutura de segurança para evitar hacks
Dispositivos móveis corporativos e exchange activesync
Identificar comuns de ti tarefas de arquitetura
Síntese de planejamento de segurança: dispositivos móveis em sua rede
Os cinco melhores proteções de segurança de dispositivos móveis
O que é hacking ético?