Spelling suggestions: "subject:"padrões dde segurança"" "subject:"padrões dee segurança""
1 |
GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO BASEADA NA NORMA NBR ISO/IEC 27005 USANDO PADRÕES DE SEGURANÇA / RISK MANAGEMENT OF INFORMATION SECURITY BASED ON STANDARD NBR ISO/IEC 27005 USING SECURITY PATTERNSKonzen, Marcos Paulo 26 February 2013 (has links)
In the last years more vulnerabilities and threats have emerged, compromising information
security in Information and Communication Technology (ICT) systems. In addition, many
organizations are unprepared to deal with the risks of information security, making them the
most vulnerable to such threats. Thus the negative impact caused by security incidents tends
to be more frequent. The implementation of information security risk management based on a
set of best practices is critical, but still a challenge for most companies. This work proposes a
methodology for managing risks based on NBR ISO/IEC 27005:2008. The methodology
presents a sequence of activities and a series of guidelines and goals that must be achieved to
make the risk management effective. As with most standards and reference models, the
methodology does not describe how activities should be implemented, which makes it
difficult to implement for organizations less experienced in security procedures. The reuse of
solutions already tested and consolidated to recurring security problems it can assist in
ensuring the use of best practices. These solutions can be found in security standards that
capture and document the knowledge of security experts, but its application to develop
standards for risk management activities is unknown. Thus, this work reviews the guidelines
of NBR ISO/IEC 27005:2008 standards and pattern catalogs in order to identify security
patterns to develop activities in accordance with the guidelines described by the standard.
Therefore, the main contribution of this work is to develop a methodology for risk
management centered in solutions, tasks and techniques described by 22 security standards.
An analysis and risk assessment using security standards was applied to a DC (Data Center)
of a private university, whose result shows the final risk for each asset, meeting the guidelines
of NBR ISO/IEC 27005:2008. / Nos últimos anos, cada vez mais novas ameaças e vulnerabilidades surgem comprometendo a
segurança das informações em sistemas de Tecnologia da Informação e Comunicações (TIC),
e muitas organizações encontram-se despreparadas para lidar com os riscos de segurança da
informação, tornando-as mais vulneráveis às ameaças, e os impactos negativos causados pelos
incidentes de segurança tendem a ser mais frequentes. A implantação de uma gestão de riscos
de segurança da informação baseada no conjunto das melhores práticas é fundamental, porém
ainda um desafio para a maioria das empresas. Este trabalho propõe uma metodologia de
gestão de riscos baseada na norma NBR ISO/IEC 27005:2008, que apresenta uma sequência
de atividades e uma série de diretrizes e objetivos que devem ser alcançados para que o
gerenciamento dos riscos seja efetivo. Como na maioria das normas e modelos de referência,
elas não descrevem como as atividades devem ser implementadas, o que acaba dificultando a
sua adoção por organizações menos experientes em processos de segurança. A reutilização de
soluções já testadas e consolidadas para resolver problemas recorrentes de segurança pode
auxiliar na garantia de utilização de melhores práticas. Estas soluções podem ser encontradas
em padrões de segurança que capturam e documentam o conhecimento de especialistas em
segurança, mas se desconhece a sua aplicação para desenvolver atividades das normas de
gestão de riscos. Desta forma, este trabalho faz uma revisão das diretrizes da norma NBR
ISO/IEC 27005:2008 e de catálogos de padrões, a fim de identificar padrões de segurança
para desenvolver as atividades de acordo com as diretrizes descritas pela norma. Portanto, a
principal contribuição deste trabalho é o desenvolvimento de uma metodologia de gestão
de riscos centrada em soluções, tarefas e técnicas descritas por 22 padrões de segurança. Uma
análise e avaliação de riscos utilizando padrões de segurança foi aplicada em um CPD de uma
instituição privada de ensino superior, cujo resultado mostra o risco final de cada ativo,
atendendo as diretrizes da norma NBR ISO/IEC 27005:2008.
|
2 |
PROCESSOS DE DESENVOLVIMENTO DE SOFTWARE CONFIÁVEL BASEADOS EM PADRÕES DE SEGURANÇA / RELIABLE SOFTWARE DEVELOPMENT PROCESSES BASED ON SECURITY PATTERNSWagner, Rosana 01 March 2011 (has links)
Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / Organizations face a series of difficulties in answering to the demands that are projected by the norms and models of software security. The norms and models provide a set of good security practices which should followed but do not describe how these practices must be implemented. Security patterns document good security solutions which can be incorporated to the software process. However they are difficult to be incorporated in each software development phase. In way, this work proposes a methodology for the adaptation of software processes based on security requirements that are preconized by the security practices of the Systems Security Engineering Capability Maturity Model (SSE-CMM). The basis for adaptation is a process framework that is elaborated from the Rational Unified Process (RUP) and security patterns proposed on the literature. By means of this methodology, the project managers, or related roles, find support for their decisions referent to the implementation of information security. In addition, some process area2 pattern association rules have initially been proposed and inserted in the framework. Although they are only suggestions and should be adapted according to the necessity of each project. In addition they should be adjusted according to the understanding of each project engineer or manager. Finally, they should evolve to the extent that the organization learns from past projects. The methodology and the association rules are supported by a developed tool, the SMT- Tool. The aim of this tool is to help the development of the process adaptation task. / As organizações enfrentam uma série de dificuldades para atender às exigências previstas pelas normas e modelos de segurança de software. As normas e modelos fornecem um conjunto de boas práticas de segurança que devem ser seguidas, mas não descrevem como essas práticas devem ser implementadas. Padrões de segurança documentam boas soluções de segurança que podem ser incorporadas ao processo de software, mas são difíceis de serem incorporados em cada fase do desenvolvimento de software. Desta forma, a proposta deste trabalho propõe uma metodologia para adaptação de processos de software com base em requisitos de segurança, preconizados pelas práticas de segurança do Systems Security Engineering Capability Maturity Model (SSE-CMM). A adaptação tem como base um framework de processo elaborado a partir do Rational Unified Process (RUP) e de padrões de segurança propostos na literatura. A partir desta metodologia, os gerentes de projetos, ou papéis relacionados, encontram suporte para suas decisões referentes à implementação de segurança da informação.
Ainda, algumas regras de associações de padrões às áreas de processo1, descritas pelo SSE-CMM, foram inicialmente propostas e inseridas no framework, porém, são apenas sugestões e devem ser adaptadas conforme a necessidade de cada projeto, bem como do entendimento de cada engenheiro ou gerente de projeto, e devem evoluir a medida que a organização aprenda com projetos passados.
A metodologia e as regras de associações são suportadas por uma ferramenta, a SMT- Tool, desenvolvida com o objetivo de apoiar a realização da tarefa de adaptação de processos.
|
Page generated in 0.0578 seconds