Documentação de segurança cibernética | Construpedia
Navegación
Documentação de segurança cibernética
Introdução
Em geral
Padrões de segurança cibernética [1] são técnicas geralmente estabelecidas em materiais publicados que tentam proteger o ambiente cibernético de um usuário ou organização.[2] Esse ambiente inclui os próprios usuários, redes, dispositivos, todos os softwares, processos, informações em armazenamento ou trânsito, aplicativos, serviços e sistemas que podem se conectar direta ou indiretamente às redes.
O principal objetivo é reduzir os riscos, incluindo a prevenção ou mitigação de ataques cibernéticos. Esses materiais publicados consistem em coleções de ferramentas, políticas de segurança, conceitos de segurança, salvaguardas de segurança, guias, abordagens de gerenciamento de risco, ações, treinamento, melhores práticas, garantias e tecnologias.
História
Os padrões de segurança cibernética existem há várias décadas, à medida que usuários e provedores colaboram em muitos fóruns nacionais e internacionais para alcançar capacidades, políticas e práticas que geralmente emergem do trabalho no Stanford Consortium for Research on Information Security and Policy na década de 1990.[3].
Um estudo de adoção da estrutura de segurança dos EUA de 2016 relatou que 70% das organizações pesquisadas consideraram a estrutura de segurança cibernética do NIST como a prática recomendada mais popular para segurança cibernética de tecnologia da informação (TI), mas muitos observam que ela requer um investimento significativo.[4].
Padrões
Contenido
Las subsecciones de abajo detallan los estándares más comunes.
ISO/IEC 27001 e 27002
A ISO/IEC 27001, parte da crescente família de normas ISO/IEC 27000, é uma norma de sistema de gestão de segurança da informação (SGSI), cuja versão mais recente foi publicada em outubro de 2013 pela Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC). Seu nome completo é ISO/IEC 27001:2013 - .
Documentação de segurança cibernética
Introdução
Em geral
Padrões de segurança cibernética [1] são técnicas geralmente estabelecidas em materiais publicados que tentam proteger o ambiente cibernético de um usuário ou organização.[2] Esse ambiente inclui os próprios usuários, redes, dispositivos, todos os softwares, processos, informações em armazenamento ou trânsito, aplicativos, serviços e sistemas que podem se conectar direta ou indiretamente às redes.
O principal objetivo é reduzir os riscos, incluindo a prevenção ou mitigação de ataques cibernéticos. Esses materiais publicados consistem em coleções de ferramentas, políticas de segurança, conceitos de segurança, salvaguardas de segurança, guias, abordagens de gerenciamento de risco, ações, treinamento, melhores práticas, garantias e tecnologias.
História
Os padrões de segurança cibernética existem há várias décadas, à medida que usuários e provedores colaboram em muitos fóruns nacionais e internacionais para alcançar capacidades, políticas e práticas que geralmente emergem do trabalho no Stanford Consortium for Research on Information Security and Policy na década de 1990.[3].
Um estudo de adoção da estrutura de segurança dos EUA de 2016 relatou que 70% das organizações pesquisadas consideraram a estrutura de segurança cibernética do NIST como a prática recomendada mais popular para segurança cibernética de tecnologia da informação (TI), mas muitos observam que ela requer um investimento significativo.[4].
Padrões
Contenido
Las subsecciones de abajo detallan los estándares más comunes.
ISO/IEC 27001 e 27002
Tecnologia da informação - Técnicas de segurança - Gestão de segurança da informação de sistemas - Requisitos.
A ISO/IEC 27001 especifica formalmente um sistema de gestão destinado a fornecer segurança da informação sob controle de gestão explícito.
A ISO/IEC 27002 incorpora principalmente a parte 1 da norma de boas práticas de gestão de segurança BS 7799. As versões mais recentes da BS 7799 são a BS 7799-3. esquema ou guia de boas práticas para gestão da segurança cibernética; enquanto a BS 7799 parte 2 e a ISO/IEC 27001 são normativas e, portanto, fornecem uma estrutura para certificação. ISO/IEC 27002 é um guia de alto nível para segurança cibernética. É mais benéfico como guia explicativo para a gestão de uma organização obter a certificação ISO/IEC 27001. A certificação obtida dura três anos. nenhuma ou algumas auditorias intermediárias poderão ser realizadas durante os três anos.
A ISO/IEC 27001 (ISMS) substitui a BS 7799 Parte 2, mas como é suportada, qualquer organização que trabalhe em direção à BS 7799 Parte 2 pode facilmente fazer a transição para o processo de certificação ISO/IEC 27001. Há também uma transição de auditoria disponível para facilitar quando uma organização recebe a certificação BS 7799 Parte 2 para se tornar certificada pela ISO/IEC 27001. A ISO/IEC 27002 fornece recomendações de melhores práticas em gestão de segurança da informação para uso pelos responsáveis por iniciar, implementar ou manter sistemas de gestão de segurança da informação (SGSI). Estados dos sistemas de segurança da informação necessários para implementar os objetivos de controle da ISO/IEC 27002. Sem a ISO/IEC 27001, os objetivos de controle da ISO/IEC 27002 são ineficazes. Os objetivos de controle da ISO/IEC 27002 são incorporados à ISO 27001 no Anexo A.
ISO/IEC 21827 (SSE-CMM - ISO / IEC 21827) é um padrão internacional baseado no Modelo de Maturidade de Capacidade de Engenharia de Segurança de Sistemas (SSE-CMM) que pode medir a maturidade dos objetivos de controles ISO.
NERC
Uma tentativa inicial de criar padrões de segurança da informação para o setor de energia elétrica foi criada pela NERC em 2003 e ficou conhecida como NERC CSS (Cyber Security Standards).[5] Após as diretrizes CSS, o NERC evoluiu e melhorou esses requisitos. O padrão de segurança NERC moderno mais amplamente reconhecido é o NERC 1300, que é uma modificação/atualização do NERC 1200. A versão mais recente do NERC 1300 é chamada de CIP-002-3 a CIP-009-3 (CIP = Critical Infrastructure Protection). Esses padrões são usados para proteger sistemas elétricos em massa, embora o NERC tenha criado padrões em outras áreas. Os padrões de sistemas elétricos em massa também fornecem gerenciamento de segurança da rede, ao mesmo tempo em que apoiam os processos de melhores práticas do setor.
ISO 15408
Este padrão desenvolve o que é chamado de “Critérios Comuns”. Ele permite que muitos produtos de software e hardware diferentes sejam integrados e testados com segurança.
A ISO/IEC 27001, parte da crescente família de normas ISO/IEC 27000, é uma norma de sistema de gestão de segurança da informação (SGSI), cuja versão mais recente foi publicada em outubro de 2013 pela Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC). Seu nome completo é ISO/IEC 27001:2013 - Tecnologia da informação - Técnicas de segurança - Gestão de segurança da informação de sistemas - Requisitos..
A ISO/IEC 27001 especifica formalmente um sistema de gestão destinado a fornecer segurança da informação sob controle de gestão explícito.
A ISO/IEC 27002 incorpora principalmente a parte 1 da norma de boas práticas de gestão de segurança BS 7799. As versões mais recentes da BS 7799 são a BS 7799-3. esquema ou guia de boas práticas para gestão da segurança cibernética; enquanto a BS 7799 parte 2 e a ISO/IEC 27001 são normativas e, portanto, fornecem uma estrutura para certificação. ISO/IEC 27002 é um guia de alto nível para segurança cibernética. É mais benéfico como guia explicativo para a gestão de uma organização obter a certificação ISO/IEC 27001. A certificação obtida dura três anos. nenhuma ou algumas auditorias intermediárias poderão ser realizadas durante os três anos.
A ISO/IEC 27001 (ISMS) substitui a BS 7799 Parte 2, mas como é suportada, qualquer organização que trabalhe em direção à BS 7799 Parte 2 pode facilmente fazer a transição para o processo de certificação ISO/IEC 27001. Há também uma transição de auditoria disponível para facilitar quando uma organização recebe a certificação BS 7799 Parte 2 para se tornar certificada pela ISO/IEC 27001. A ISO/IEC 27002 fornece recomendações de melhores práticas em gestão de segurança da informação para uso pelos responsáveis por iniciar, implementar ou manter sistemas de gestão de segurança da informação (SGSI). Estados dos sistemas de segurança da informação necessários para implementar os objetivos de controle da ISO/IEC 27002. Sem a ISO/IEC 27001, os objetivos de controle da ISO/IEC 27002 são ineficazes. Os objetivos de controle da ISO/IEC 27002 são incorporados à ISO 27001 no Anexo A.
ISO/IEC 21827 (SSE-CMM - ISO / IEC 21827) é um padrão internacional baseado no Modelo de Maturidade de Capacidade de Engenharia de Segurança de Sistemas (SSE-CMM) que pode medir a maturidade dos objetivos de controles ISO.
NERC
Uma tentativa inicial de criar padrões de segurança da informação para o setor de energia elétrica foi criada pela NERC em 2003 e ficou conhecida como NERC CSS (Cyber Security Standards).[5] Após as diretrizes CSS, o NERC evoluiu e melhorou esses requisitos. O padrão de segurança NERC moderno mais amplamente reconhecido é o NERC 1300, que é uma modificação/atualização do NERC 1200. A versão mais recente do NERC 1300 é chamada de CIP-002-3 a CIP-009-3 (CIP = Critical Infrastructure Protection). Esses padrões são usados para proteger sistemas elétricos em massa, embora o NERC tenha criado padrões em outras áreas. Os padrões de sistemas elétricos em massa também fornecem gerenciamento de segurança da rede, ao mesmo tempo em que apoiam os processos de melhores práticas do setor.
ISO 15408
Este padrão desenvolve o que é chamado de “Critérios Comuns”. Ele permite que muitos produtos de software e hardware diferentes sejam integrados e testados com segurança.