Ebook gratuito elaborado e publicado pelo Tribunal de Contas da União (TCU) sobre boas práticas em Gestão da Segurança da Informação
 |
| Boas práticas em segurança da informação |
Muitos profissionais de TI recorrem a esta publicação pelo fato de ter sido utilizado como referência para algumas questões de provas de concursos públicos, por bancas como CESPEe FCC.
Independente de estar ou não estudando para concursos, recomendamos o Ebook a seguir para qualquer um que deseje estudar gestão da segurança da informação de forma simplificada, didática e a um nível de detalhes considerado satisfatório (não chega a ser considerado um conteúdo avançado, mas esclarece muitos aspectos para quais existe pouco material livre).
O livro aborda boas práticas abrangendo também a norma ISO 27002 (a partir do capítulo 4).
A seguir, um pouco mais sobre esta publicação. Bons estudos!
Detalhes
Ano de lançamento: 2012 (quarta edição)
Número de páginas: 108
Direitos autorais: TCU (reprodução permitida)
Índice
1 Política de Segurança de Informações 9
1.1 O que visa a segurança de informações? 9
1.2 Por que é importante zelar pela segurança de informações? 10
1.3 O que é política de segurança de informações - PSI? 10
1.4 Quem são os responsáveis por elaborar a PSI? 10
1.5 Que assuntos devem ser abordados na PSI? 11
1.6 Qual o nível de profundidade que os assuntos abordados na PSI devem ter? 12
1.7 Como se dá o processo de implantação da PSI? 12
1.8 Qual o papel da alta administração na elaboração e implantação da PSI? 13
1.9 A quem deve ser divulgada a PSI ? 13
1.10 O que fazer quando a PSI for violada? 13
1.11 Uma vez definida, a PSI pode ser alterada? 14
1.12 Existem normas sobre PSI para a Administração Pública Federal? 14
2 Controles de acesso lógico 16
2.1 O que são controles de acesso? 16
2.2 O que são controles de acesso lógico? 16
2.3 Que recursos devem ser protegidos? 16
2.4 O que os controles de acesso lógico pretendem
garantir em relação à segurança de informações? 18
2.5 Como os usuários são identificados e autenticados? 18
2.6 Como restringir o acesso aos recursos informacionais? 25
2.7 Como monitorar o acesso aos recursos informacionais? 27
2.8 Outros controles de acesso lógico 28
2.9 Onde as regras de controle de acesso são definidas? 29
2.10 Quem é o responsável pelos controles de acesso lógico? 30
2.11 Em que os usuários podem ajudar na implantação dos controles de acesso lógico? 31
2.12 Existem normas sobre controles de acesso lógico para a Administração Pública Federal? 31
3. Plano de Continuidade do Negócio 32
3.1 O que é Plano de Continuidade do Negócio - PCN? 32
3.2 Qual é a importância do PCN? 32
3.3 Qual é o objetivo do PCN? 33
3.4 Como iniciar a elaboração do PCN? 33
3.5 Que assuntos devem ser abordados no PCN? 34
3.6 Qual o papel da alta administração na elaboração do PCN? 34
3.7 Como garantir que o Plano funcionará como esperado? 35
3.8 Existem normas sobre PCN para a Administração Pública Federal? 37
4 TCU e a NBR ISO/IEC 27002:2005 38
4.1 De que trata a NBR ISO 27002:2005? 38
4.2 Por que o TCU utiliza essa norma como padrão
em suas auditorias de segurança da informação? 38
4.3 Como o TCU avalia a segurança da informação na Administração Pública Federal? 39
4.4 Como está estruturada a NBR ISO 27002:2005? 42
4.5 De que trata a seção “Política de segurança da informação”? 43
4.6 De que trata a seção “Organizando a segurança da informação”? 47
4.7 De que trata a seção “Gestão de ativos”? 58
4.8 De que trata a seção “Segurança em recursos humanos”? 64
4.9 De que trata a seção “Segurança física e do ambiente”? 66
4.10 De que trata a seção “Gerenciamento das operações e comunicações”? 68
4.11 De que trata a seção “Controle de acessos”? 80
4.12 De que trata a seção “Aquisição, desenvolvimento
e manutenção de sistemas de informação”? 91
4.13 De que trata a seção “Gestão de incidentes de segurança da informação”? 95
4.14 De que trata a seção “Gestão da continuidade do negócio”? 97
4.15 De que trata a seção “Conformidade”? 100
