Capítulo 02: Controles e Política de Segurança
A definição dos seguintes serviços de segurança em sistemas de informação e redes de computadores:
Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.
Controles Gerais de Segurança
Controles de Software: limitam e supervisionam o acesso aos programas e arquivos críticos para o sistema, que controlam o hardware do sistema computacional e protegem as aplicações existentes;
Controles de Hardware: o hardware deve ser fisicamente seguro e que não tenha defeitos nos equipamentos que possa comprometer a segurança e disponibilidade das informações armazenadas.
Controle de Operações de Computador: têm como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação não autorizada.
Controles de Segurança de Dados: Bases de dados, arquivos ou transações de bancos de dados devem ser protegidos para evitar que os dados sejam apagados ou alterados sem autorização, como, por exemplo, arquivos com a configuração do sistema, dados da folha de pagamento, dados estratégicos da empresa .
Controles de Implementação: Firewalls;Redes virtuais Privadas (VPN);Sistemas de Detecção de Intrusão (IDS);Sistemas de Prevenção de Intrusão (IPS);Sistemas de Anti-vírus;Sistemas de Anti-Spam;Controle de Acesso;Filtro