1. Segurança de Informação
24/08/2013
Mecanismo de controlo as meaças
Na segurança da informação existem alguns mecanismos para preservar as informações
de formar a garantir a sua disponibilidade confidencialidade, integridade e
autenticidade. Estes mecanismos são designados de mecanismo de controlo as meaças:
1. Controle de acesso: este mecanismo permite controlar quais as pessoas
autorizadas a entrar em determinado local e regista do dia e hora de acesso
controlando e decidindo as permissões que cada utilizador tem um sistema de
controlo de acesso é constituído por diferentes equipamentos periféricos de
controlo comando, interligado a uma única unidade controle que permite em
diferente vários acessos
2. Detecção de Intrusos: o sistema de tenção de intrusos alerta os administradores
para entrada de possíveis introduzo no sistema tenta reconhecer um
comportamento ou acção através intrusos, através da análise das informações
disponíveis num sistema de computação ou redes
3. Criptografia: A criptografia é a arte de codificação que permite a transformação
reversível da informação de forma a torna-la inteligível a terceiros. Está utilizar
determinado algoritmo na chave secreta para a partir de conjunto de dados não
criptografado produzido uma sequência de dados criptografados
4. Assinatura Digital: este mecanismo é um conjunto de dados criptografado
associado a um documento que garante a sua integridade e autensidade. A
utilização da assinatura digital prova que uma mensagem de um determinado
emissor porque é um processo que apenas o asignatura pode realizar, num
entanto receptor deve poder confirmar assinatura feita pelo emissor a mensagem
não pode ser alterada, se ñ a assinatura ñ corresponderá mais ao documento.
Validade de uma assinatura digital verifica-se esta a se basear a certificadas
emitidas por entidades certificada credenciada
5. Protecção de dados armazenados: nestes mecanismos são utilizados antivírus
que são softwares capaz de detectar e remover arquivo arquivos ou programas
nocivos. A preocupação de os dados armazenados faz com que se desenvolvam
alguns métodos para controlar acesso por pessoas externas como a criptografia
ou assinatura digital
2. Segurança de Informação
6. Recuperação de desastres: (as catástrofes naturais indução, terremotos, etc.)
Designam-se de desastres e são acontecimentos que pode causar grandes
prejuízos porem com baixa probidade de ocorrência. No entanto leva nos a
necessidade de implementar plano de imergência, para garantir a preservação
dos documento e a própria integridade física dos colaborares de uma
organização
07/09/2013
Modelo para segurança de informação:
Norma ISO/IEC 27000
Objectivo da gestão de segurança de informação é manter a qualidade das informações.
E a qualidade dessas informações depende da confidencialidade, integridade e
disponibilidade das mesmas. Esse princípio foi desenvolvido por de modo a tornar o
padrão global de segurança de informação: conjunto ISO/IEC 27000
Na serie ISO/IEC 27000
Constitui um padrão de certificação de sistema de gestão promovido pela Internacional
Standard Organisation (ISO), onde neste caso aplica-se implementação de sistema de
gestão da informação (SGSI), através de estabelecimento de uma política de segurança,
de controlo adequados e da gestão de risco
Está norma serve de apoio de as organizações dequalquer sector público ou privado para
entender os fundamento, principio e conceitos que permitem uma melhor gestão dos
seus activos de informação
A família de normasISO/IEC 27000 inclui padrões que definem os requisitos para um
SGSI e para certificação desses sistemas e prestam apoio direito e organização
detalhada para o processos e requisitos dos ciclos PDCA:
P-PLAN(Plano)
D-Do (fazer)
C-Check(Verificar)
A-Act(Acção)
3. Segurança de Informação
ISO 27000 contém termos e definições por utilizados ao longo da série 27000.
Aplicação de qualquer padrão necessita de um vocabulário claramente definida para
evitar diferentes interpretações de conceitos técnico e de gestão:
Controle de acesso: meios para a segurar que a cesso a activos está autorizado
com base e restringidos com no trabalho em segurança
Responsabilidade: de uma entidade pelas suas acções e decisões
Activos: qualquer coisa que tenha valor para organização(informação, Software,
o próprio PC, serviços, e as pessoas)
Atacar: tentar destruir, alterar, expor e inutilizar roubar ou obter acesso não
autorizado ou fazer o uso não autorizado de um activo
Autenticação: prestação de garantia de uma característica reclamada por uma
entidade é correcta
Autenticidade: propriedade que nos diz que uma entidade é aquilo que
realmente a firma que uma entidade ser
Disponibilidade: propriedade de ser acessível e utilizável por uma entidade
autorizada
Confidencialidade: propriedade que garante que a informação não esta
disponível ou revelada ao indivíduos não autorizada, entidade ou processos
Controlar:meio de gestão de risco incluindo as políticas de procedimentos,
directrizes, praticas ou estruturas organizacionais que podem ser de natureza
administrativa técnica, de gestão ou de natureza legal
Acção Correctiva: acção para é eliminar a causa de uma não conformidade
detectada ou outra acção situações indesejável
Directriz: recomendação do que é esperado que seja feito a fim de alcançar um
objectivo
Segurança da informação: preservação da confidencialidade, integridade e
disponibilidade das informações;
Sistema de Gestão de Informação: parte do sistema gestão global, com base
numa abordagem de risco de negóciopara estabelecer, implementar, operar,
monitorizar, rever, manter e melhor ar a segurança da informação
Risco de Segurança de Informação: potencial que uma a meaça explore uma
vulnerabilidade de um activo ou grupos de activo e assim causar danos a
organização
Integridade: propriedade de proteger a exactidão de activo
Sistema Gestão: âmbito das políticas procedimentos, directrizes e recursos
associados para alcançar os objectivos de uma organização
Politica: Intenção e direcção geral como formalmente expressão pela gestão;
Processos: conjunto de actividades inter-relacionadas ou interactivas que
transformam-se em produtos
Risco: combinação da probalidade de um em ventos e das suas consequências
Evento: ocorrência de um determinado conjunto de circunstâncias
Análise de risco: uso sistemático de informação para identificar fontes estimar a
ocorrência de um risco
4. Segurança de Informação
Gestão de Risco: actividade coordenada para dirigir e controlar uma
organização em relação a um determinado risco
Ameaça: causa potencial de um incidente indesejado, o que pode resultar em
danos para um sistema ou resultar em danos para um sistema ou entidade
Vulnerabilidade: fraqueza de um activo ou controlo que pode ser explorado por
a meaças
Principais Benefícios do objectivonorma ISO/IEC27000
Beneficio:
Estabelecimento de uma metodologia clara da gestão de segurança
Reduzir o risco de perda, roubo ou alteração da informação
O acesso a informação é feito através das medidas de segurança
Confiança e regras claras para todos envolvidos de uma organização
Aumento de segurança relativamente a gestão de processos
Conformidade com a legislação vigente sobre informação vigente sobre
informação pessoal, propriedade intelectual e outras,
Os riscos e os seus controlos são continuamente verificados
Garantia de qualidade e confidencialidade comercial
________________________________________________________________
14/09/2013
Sistema de Gestão de segurança de Informação:
Um Sistema de Gestão de Segurança da Informação (SGSI) fornecer um modelo
para o estabelecimento, implementação operacionalização, monitorização,
revisão, manutenção e melhoria da protecção de activos de informação com vista
a alcançar os objectivos propósito por uma organização com base numa correcta
de uma avaliação e gestão dos riscos inerentes a uma organização.
A implementação bem sucessedida por um sistema de gestão de informação
depende da analise dos requisitos para a protecção dos activos da informação,
assim como dos controlos adequados para garantir essa protecção
5. Segurança de Informação
Principio de Fundamentais para uma boa implementação de umSistema de
Gestão de Segurança da Informação
A consensciencia das necessidades de segurança da informação
Atribuição de responsabilidade pela segurança de informação;
Incorporar o comprimisso da gestão e os interesses de todas as partes
interessados
Reforçar os valores das sociedades;
Avaliar os riscos que determinam os controlos adequados para atingir níveis
aceitáveis de riscos
Prevenção activa e detenção de incidentes de segurança da informação
Reavaliação contínua da segurança da informação;
Em termos da segurança da Informação, um sistema de gestão permite que
a organização:
Satisfaça os requisitos de segurança de clientes e outros interessados,
Melhores os seus planos actividades,
Cumpra os seus objectivos de segurança da informação
Faça uma gestão dos seus activos de informação de uma forma organizada o que
facilita a melhoria a contínua
________________________________________________________________
21/09/2013
Norma 27001
ISO /IEC 27001
Esta norma foi publicada pelo ISO/IEC em Outubro de 2005.Foi elaborada para
especificar os requisitos para o estabelecimento, implementação,
operacionalização, monitorização, revisão, manutenção e melhoria de SGSI,
dentro do contesto de risco de negocio de uma organização.
A certificação não é um requisito obrigatório da norma ISO/IEC27001, é uma
decisão da organização. Num entanto, 18 mesesapoios a sua publicação mais de
duas mil organizações 50 países foram certificadas o crescimento nessa área tem
vindo aumentar
6. Segurança de Informação
Objectivo da Norma ISO/IEC
Esta norma foi estabelecida com âmbito em conjunto ISO/IEC 17799 e pretende
a segurar a selecção de controlo de segurança adequado e proporcional. A
implementação da norma 27001 faz com que o seu foco nas necessidade de
negocio e considerar a segurança da informação como parte integrante dos
objectivo de negocio para realizar a gestão dos riscos
A norma ISO/IEC 27001 é universal para todos tipos de organização e
especifica os requisitos para implementação consoantes as necessidades de uma
organização
A certificação em conformidade com a norma 27001 normalmente envolve um
conceito de auditoria:
Revisão linear da documentação chave bem como da política da organização,
declaração de aplicabilidade e plano de tratamento de risco.
Realização de uma auditoria em profundidade envolvendo o controlo de SGSI
declarado na declaração na aplicabilidade e plano de tratamento de risco, bem
como a documentação de suporte
05/10/2013
A renovação do certificado envolve algumas revisões periódicas confirmando
que SGSI continua a trabalhar como área desejado
1. Sistema A norma ISO/IEC 27001 envolve alguns componentes:
Estabelecer o SGSI:
Implementar e operar o SGSI
Monitorizar e Analisar criticamente o SGSI
Manter e melhorar o SGSI
Requisitos de Documentação
Controle de Documentação
Controle de Registos
2. Responsabilidade da Direcção:
Comprometimento da Direcção
Gestão de Recursos
Provisão de Recursos
Treino Consciencialização e competência
3. Auditória Internas que determinam se um SGSI:
Atende aos requisitos da norma
Atende aos requisitos de segurança identificados
7. Segurança de Informação
É executado conforme esperado
Todo o procedimento de uma auditória é documentado e os auditores não podem auditar
o seu próprio trabalho, conferindo objectividade e imparcialidade
4. Analise Critica de SGSI pela direcção:
Entrada:
Resultado das auditória e análise criticas, situações das acções
preventivas e correctiva,vulnerabilidade não completada a
adequadamente nas análises anteriores, resultado recomendações e
mudanças
Saídas:
Oportunidade de incluir melhoria e mudanças modificação do SGSI
das necessidades dos recursos
5.Melhoria de SGSI:
Melhoria contínua através do uso da política estabelecida, resultado das
auditórias, análise dos eventos monitorizados e acções correctivas
Eliminação das não conformidades através das acções correctivas e
preventivas
PCAN: na verificação do sistema de segurança da informação
PCAN(Planear): Estabelecimento de política, processo e
procedimentos relevante para administraçãode risco e para a melhoria
da segurança da informação
DO(Fazer, implementar e operar): implementar e operacionalização
das políticas de controle processo e procedimento do sistema
CHECK (Verificar/monitorar/Rever): expensão da performance dos
processos em comparação com as políticas e objectivos de SGSI Este
resultados devem ser reportado para gestão para análise
ACT (Agir/Manter/Optimizar): Tomada de acção correctiva e
preventiva, baseado em auditória interna resultado SGSI e de mais
informações provenientes da gestão ou de mais fontes relevante
O resultado PCAN: é correcta gestão do SGSI tendo como base espectavas e
necessidades de uma organização.
Event Viewer, Logs File: da informação toda de como fazer um expensão
8. Segurança de Informação
12/10/2013
Família da Norma ISO/IEC27000
Dentro da serie 27000 ainda podemos referir as normas 27002(Código de praticas),
27003(Guia de Implementação), 27004(Métricas e medição), 27005(Directriz de gestão
de risco) 27006(Directriz de serviços de recuperação desastraste).
A norma ISO 27002 a partir de Julho de 2007 é o novo nome da norma ISO 17799.
Está norma é um guia de boas praticas que descreve os objectivos de controlo e os
controlos recomendados para a segurança da informação. Norma ISO 27001.Contém
alguns a nexos, que resume alguns deste controlo.
A norma ISO 27003 aborda alguma directriz para a implementação de SGSI e contem
informações sobre como usar o modelo PDCA os requisitos das suas deferentes fases,
ou seja ira fornecer uma bordagem de processo orientada para o sucesso da
implementação de um SGSI de acorda com a norma ISO/IEC27001
A norma ISO/IEC 27004 especifica métrica e técnica de medição aplicáveis para
determinar a eficácia de SGSI, os objectivos de controlo e os controlos usados para
implementar e gerir a segurança da informação essas métricas são usas principalmente
para medir os componentes da fase Check do ciclo PDCA
A norma ISO/27005 estabelece directrizes para a gestão de risco em segurança da
informação, fornecendo indicações para implementação, monitorização e melhoria
contínua do sistema de controlo. A norma 27005 é aplicada a todos tipos de organização
que se destinam a gerir os riscos que possa comprimente a segurança de informação
A norma ISO 27006 especifica os requisitos e fornece orientações para o organismo
que prestem o serviço de auditória e certificação de um SGSI
26/10/2013
Sistema Lancesar:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
Xtx fx viciado
Tpt bt reyrwyzk
9. Segurança de Informação
.
Amanha irei visitar o senhor presidente
WHAIW DNAD RDODN KNICJN LN
Criptografia: a criptografia é uma ciência que tem importância fundamental para a
segurança da informação, a servir de base para de versas tecnologia e protocolo tais
como a infrastetura de chaves publicas, ip de segurança e o Wired Equivalent
Privacy(WEP). Suas propriedades que são o sigilo, interinidades, Autenticação e não
repudio, garante o armazenamento, as comunicações e as transacções seguras, essencial
no mundo actual.
Acriptografia tem a função e importância cada vez mais fundamentais para a segurança
das informações. A cifragem (Crípton) é o processo de disfarçar a mensagem original
ou seja o texto claro, de tal modo que sua substância é escondida em uma mensagem
com texto cifrado(Ciphertext),em quanto a de cifragem (decrepito) é o processo de
transformar o texto cifrado de volta de texto claro em original.
O processo de cifragem e decifragem são realizados via uso de algoritmos com funções
matemáticas que transformam os textos claros, que podem ser lidos em textos cifrados,
que são inteligíveis.
A criptografia possibilita que propriedade importantes para a protecção da informação
sejam alcançadas, dentre elas: Integridade, Aticidade, não repudio e sigilo
Chave publica :outras as pessoas terem acesso
Chave Priva: Para desencriptar a mensagem
A criptografia de chave Privada ou Simétrica: como a data cription standard,
(3des,idea,rc6 e outros), é responsável pelo sigilo das informações, por meio da
utilização de uma chave secreta para a codificação e decodificação dos dados
Samuel
Palmira
Mensagem Cifrado
Mensagem
Cifrada
Rede
Pública
Mensagem
Cifrada Decifrador Mensagem
10. Segurança de Informação
16/11/13
Cifra de Vigenere
É um método de encriptação que usa uma série de deferente cifra de césar baseadas em
letra deuma senha
Numa cifra de césar, cada letra do alfabeto e deslocada da sua posição um número fixo
de lugares; por ex: Se tiver uma deslocação de 3 lugares a letra A torna-se D, letra B
torna-se E. A cifra de Vigenere consiste na sequência de varias cifras de césar com
deferentes valores de deslocamento
Característica
1- A cifra de vigenere pertence a classe de substituição com palavras-chaves
2- O tipo da substituição a classe Polialfabetica monogramica porque faz uso de
vários alfabetos cifrates, aplicados indivualmente aos caracteres da messagem
clara.
3- O método faz uso de chaves que podem ser palavras ou chaves
D=Decriptação
E=Encriptação
K=Chave
P=Texto Puro
Na Forma de Utilização Números temos que por 1º abecedários
A BC D E F G H I J K L M N O P Q R S T U V W X Y Z
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
Para Fazer encriptação
P=K+E
Para fazer Decriptação
K-D
11. Segurança de Informação
Palavra
YRX
V O U A ESCOLA
2 1420 0 4 18 2 14 11 0
Encriptação da Palavra Chave Angola
MOD 26
S e soma sere 28 tem que se fazer 28-26=2
P=3+0=3=D
P=3+13=16=Q
P=3+6=9=J
P=3+14=17=R
P=3+11=14=O
P=3+0=3=D
Tabela de Vigenere
JOAO NETO
A N G O L A AN
0 13 6 14 11 0
12. Segurança de Informação
Pra fazer decriptação utilizamos as chaves, encontramos a posição. Buscarmos a sua
intercessão em função de número e a sua letra.
A=0=J=J
N=13=O=B
G=6=A=G
O=14=O=C
L=11=N=Y
A=0=E=E
A=0=T=T
N=13=O=B
MOD_26
Se a soma der 28 tem que se fazer 28-26=2
Método de Encriptação:
P=3+21=24=Y
P=3+14=17=R
P=3+20=23=X
P=3+0=3
P=3+4=7
P=3+18=21
P=3+2=5
P=3+14=17
P=3+11=14
P=3+0=3
13. Segurança de Informação
Método Decriptação:
P=24-3=21
P=17-3=14
P=23-3=20
P=3-3=0
P=7-3=4
P=21-3=18
P=5-3=2
P=17-3=14
P=14-3=11
P=3-3=0
Quando se utiliza a chave
V O U A E S C O L A
A N G O L A A N G O
Para esta encriptação a palavra que foi encriptada foi a palavra angola que é a nossa
palavra-chave é “ANGOLA” fez se encriptação na palavra ANGOLA
JOAO SEBASTIAO
DQJR ODDQJROD
ANGO - LAAN -GOLAA
0 13 6 14 11