Conteúdo |
SUMÁRIO<br/> <br/>Carta do Diretor Executivo da (ISC)2 W. Hord Tipton<br/>Prefácio<br/>Agradecimentos<br/><br/>PARTE I<br/>A Necessidade de Segurança da Informação<br/><br/>CAPÍTULO 1<br/>Segurança de Sistemas de Informação <br/><br/>Segurança de Sistemas de Informação <br/>Riscos, Ameaças e Vulnerabilidades <br/>Definição de Segurança de Sistemas de informação <br/>Leis de Conformidade nos Estados Unidos Impulsionam a Necessidade de Segurança de<br/>Sistemas de Informação <br/>Princípios de Segurança de Sistemas de Informação <br/>Disponibilidade <br/>Integridade <br/>Confidencialidade <br/>Os Sete Domínios de uma lnfraestrutura Típica de Ti <br/>Domínio do Usuário <br/>Domínio da Estação de Trabalho <br/>Domínio de LAN <br/>Domínio de LAN para WAN <br/>Domínio de WAN <br/>Domínio de Acesso Remoto <br/>Domínio de Sistema/Aplicativo <br/>Elo Mais Fraco na Segurança de uma Infraestrutura de Ti <br/>Ética e a Internet <br/>(ISC)2: Certificação de Segurança em Sistemas de Informação <br/>Certificação Profissional SSCP <br/>Certificação Profissional CISSP <br/>Código de Ética da (ISC)2 <br/>Estrutura de Política de Segurança de Ti <br/>Definições <br/>Políticas de Base de Segurança de TI <br/>Padrões de Classificação de Dados <br/><br/>RESUMO DO CAPÍTULO<br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 1 <br/><br/>CAPÍTULO 2 <br/>Mudança do Modo como Pessoas e Empresas se Comunicam <br/><br/>Evolução de Comunicações por Voz <br/>De Analógico para Digital <br/>Riscos, Ameaças e Vulnerabilidades de Telefonia <br/>Melhores Práticas de Segurança de Telefonia <br/>De Digital para Voz sobre IP (VoIP - Voice over IP) <br/>Riscos, Ameaças e Vulnerabilidades de VoIP e SIP <br/>Melhores Práticas de Segurança de VoIP e SIP <br/>Conversão para um Mundo TCP/IP <br/>Como Diferentes Grupos se Comunicam <br/>Avanço da Banda Larga na Década de 1990 <br/>Transformação de Provedores de Serviços de Telecomunicação para IP <br/>Comunicações Multimodais <br/>Migração para Voz sobre IP (VoIP) <br/>Comunicações Unificadas (UC) <br/>Solução de Desafios de Negócios com Comunicações Unificadas <br/>Evolução do Comércio de Loja Física para Comércio Eletrônico <br/>Solução de Desafios de Negócios com Transformação de Negócios Eletrônicos <br/>Por que as Empresas, Hoje, Precisam de uma Estratégia de Marketing pela Internet <br/>O Efeito da Web sobre Pessoas, Empresas e Outras Organizações <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 2 <br/><br/>CAPÍTULO 3 <br/>Ataques Maliciosos, Ameaças e Vulnerabilidades <br/><br/>Atividade Maliciosa Crescente <br/>O que Você Está Tentando Proteger? <br/>TI e lnfraestrutura de Rede <br/>Propriedade Intelectual<br/>Finanças e Dados Financeiros <br/>Disponibilidade de Serviço e Produtividade <br/>Reputação <br/>Quem Você Está Tentando Pegar? <br/>Ferramentas de Ataque <br/>Programas para Varredura de Vulnerabilidade <br/>Programas para Varredura de Porta <br/>Farejadores <br/>Discadores <br/>Programa para Captura de Teclado <br/>O que É uma Brecha de Segurança? <br/>Ataques de Negação de Serviço <br/>Ataques de Negação de Serviço Distribuída <br/>Navegação Web Inaceitável <br/>Espionagem Telefônica <br/>Porta dos Fundos <br/>Modificações de Dados <br/>Desafios de Segurança Adicionais <br/>O que São Vulnerabilidades e Ameaças? <br/>Alvos de Ameaça <br/>Tipos de Ameaça <br/>O que É um Ataque Malicioso? <br/>Ataques de Força Bruta <br/>Ataques de Dicionário <br/>Falsificação de Endereço <br/>Sequestro<br/>Ataques de Retransmissão <br/>Ataques de Homem no Meio <br/>Disfarce <br/>Interceptação<br/>Engenharia Social<br/>Phreaking<br/>Phishing <br/>Pharming <br/>O que É Software Malicioso? <br/>Vírus <br/>Vermes <br/>Cavalos de Troia <br/>Rootkits <br/>Programa Espião <br/>O que São Contramedidas? <br/>Combatendo o Malware <br/>Protegendo Seu Sistema com Firewalls <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 3 <br/><br/>CAPÍTULO 4 <br/>Os Propulsores do Negócio de Segurança da Informação<br/><br/>Definição de Gerenciamento de Riscos <br/>Identificação de Riscos <br/>Análise de Risco <br/>Planejamento de Resposta a Riscos <br/>Monitoramento e Controle de Riscos <br/>Implementação de uma BIA, um BCP e um DRP<br/>Análise de Impacto nos Negócios<br/>Plano de Continuidade de Negócios <br/>Plano de Recuperação de Desastre <br/>Avaliando Riscos, Ameaças e Vulnerabilidades <br/>Fechando a Lacuna de Segurança de Informação <br/>Aderindo a Leis de Conformidade <br/>Mantendo Dados Privativos Confidenciais <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 4 <br/><br/>PARTE II A Certificação Profissional Systems SeCurity Certified Practitioner (SSCP®) da (ISC)2 <br/><br/>CAPÍTULO 5 <br/>Controles de Acesso <br/><br/>As Quatro Partes de Controle de Acesso <br/>Os Dois Tipos de Controle de Acesso<br/>Controle de Acesso Físico <br/>Controle de Acesso Lógico<br/>Definindo uma Política de Autorização<br/>Métodos e Diretrizes de Identificação<br/>Métodos de Identificação <br/>Diretrizes de Identificação<br/>Processos e Requisitos de Autenticação <br/>Tipos de Autenticação<br/>Single Sign-On (SSO) <br/>Políticas e Procedimentos de Responsabilização <br/>Arquivos de Histórico <br/>Retenção de Dados, Descarte de Mídia e Requisitos de Conformidade <br/>Modelos Formais de Controle de Acesso <br/>Controle de Acesso Discricionário (DAC) <br/>Controle de Acesso Obrigatório (MAC) <br/>Controle de Acesso Não Discricionário <br/>Controle de Acesso Baseado em Regra <br/>Listas de Controle de Acesso (ACLs) <br/>Controle de Acesso Baseado em Função (RBAC) <br/>Controle de Acesso Dependente de Conteúdo <br/>Interface Restrita de Usuário <br/>Outros Modelos de Controle de Acesso <br/>Efeitos de Brechas em Controle de Acesso <br/>Ameaças a Controles de Acesso <br/>Efeitos de Violações de Controle de Acesso <br/>Controle de Acesso Centralizado e Descentralizado <br/>Três Tipos de Servidores AAA <br/>Controle de Acesso Descentralizado <br/>Privacidade <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 5 <br/><br/>CAPÍTULO 6 <br/>Operações e Administração de Segurança <br/><br/>Administração de Segurança <br/>Controlando Acesso <br/>Documentação, Procedimentos e Diretrizes <br/>Avaliação e Recuperação de Desastre <br/>Terceirização de Segurança <br/>Conformidade <br/>Históricos de Evento de Segurança<br/>Coordenador de Conformidade <br/>Remediação <br/>Ética Profissional <br/>Enganos Comuns sobre Ética <br/>Códigos de Ética <br/>Princípios de Segurança de Pessoal <br/>A Infraestrutura de uma Política de Segurança de TI <br/>Políticas <br/>Padrões <br/>Procedimentos <br/>Linhas de Base <br/>Diretrizes <br/>Padrões de Classificação de Dados <br/>Objetivos de Classificação de Informação <br/>Exemplos de Classificação <br/>Procedimentos de Classificação <br/>Garantia <br/>Gerenciamento de Configuração <br/>Inventário de Hardware e Mapa de Configuração <br/>O Processo de Gerenciamento de Mudança<br/>Gerenciamento de Controle de Mudança <br/>Comitês de Controlo do Mudança <br/>Procedimentos de Controle de Mudança <br/>Problemas em Controle de Mudança <br/>O Ciclo de Vida de Sistema (SLC) e o Ciclo de Vida de Desenvolvimento de Sistema (SDLC) <br/>O Ciclo de Vida de Sistema (SLC) <br/>Testando e Desenvolvendo Sistemas <br/>Desenvolvimento de Software e Segurança <br/>Métodos de Desenvolvimento de Software <br/> <br/>RESUMO DO CAPITULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 6 <br/><br/>CAPÍTULO 7 <br/>Auditoria, Teste e Monitoramento <br/><br/>Auditoria e Análise de Segurança <br/>Controles de Segurança Tratam de Risco <br/>Determinando o que é aceitável<br/>Níveis de Permissão <br/>Áreas de Auditorias de Segurança <br/>Finalidade de Auditorias<br/>Confiança de Clientes <br/>Definindo Seu Plano de Auditoria <br/>Definindo o Escopo do Plano<br/>Padrões de Referência de Auditoria <br/>Dados de Auditoria - Métodos de Coleta<br/>Áreas de Auditorias de Segurança<br/>Verificações de Controle e Gerenciamento de Identidade<br/>Atividades Pós-auditoria<br/>Entrevista de Saída <br/>Análise de Dados <br/>Geração de Relatório de Auditoria <br/>Apresentação de Descobertas <br/>Monitoramento de Segurança <br/>Monitoramento de Segurança para Sistemas Computacionais<br/>Questões de Monitoramento <br/>Histórico de Anomalias <br/>Gerenciamento de Histórico <br/>Tipos de Informação de Histórico a Capturar <br/>Como Verificar Controles de Segurança <br/>Sistema de Detecção de Intrusos (IDS)<br/>Métodos de Análise <br/>HIDS <br/>Defesa em Camadas: Controle de Acesso a Rede <br/>Verificações de Controle: Detecção de Intrusão <br/>Isolamento de Computador (host) <br/>Reforço de Sistema <br/>Análise de Programa Antivírus<br/>Monitoramento e Teste de Sistemas de Segurança <br/>Monitoramento <br/>Teste <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 7<br/><br/>CAPÍTULO 8 <br/>Risco, Resposta e Recuperação <br/><br/>Gerenciamento de Risco e Segurança de Informação<br/>Definições de Risco <br/>Elementos de Risco <br/>Finalidade de Gerenciamento de Risco<br/>A Equação de Risco <br/>O Processo de Gerenciamento de Risco <br/>Análise de Risco<br/>Ameaças Emergentes <br/>Duas Abordagens: Quantitativa e Qualitativa <br/>Calculando Risco Quantificado <br/>Análise Qualitativa de Risco <br/>Desenvolvendo uma Estratégia para Lidar com Risco <br/>Faixa Aceitável de Risco/Risco Residual <br/>Avaliando Contramedidas <br/>Precificação/Custo de uma Contramedida <br/>Avaliação de Contramedida <br/>Controles e Seu Lugar no Ciclo de Vida de Segurança<br/>Planejamento para Sobreviver <br/>Terminologia <br/>Avaliando o Tempo Máximo Tolerável de Paralisação (MTD) <br/>Análise de Impacto em Empresas <br/>Revisão do Plano<br/>Testando o Plano<br/>Copiando Dados e Aplicativos <br/>Tipos de Cópias de Segurança<br/>Etapas a Seguir ao Lidar com um Incidente <br/>Notificação <br/>Resposta <br/>Recuperação <br/>Acompanhamento <br/>Documentação <br/>Recuperação de um Desastre <br/>Principais Etapas para Recuperação de Desastre <br/>Ativando o Plano de Recuperação de Desastre <br/>Operando em um Ambiente Reduzido/Modificado <br/>Restaurando Sistemas Danificados <br/>Questões sobre Recuperação de Desastre <br/>Alternativas de Recuperação <br/>Estratégias de Processamento Temporário ou Alternativo <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS<br/>AVALIAÇÃO DO CAPÍTULO 8<br/> <br/>CAPÍTULO 9 <br/>Criptografia <br/><br/>O que É Criptografia? <br/>Princípios Básicos de Criptografia <br/>Uma Breve História de Criptografia <br/>Papel da Criptografia em Segurança de Informação <br/>Requisitos Comerciais e de Segurança para Criptografia <br/>Segurança Interna <br/>Segurança entre Empresas <br/>Medidas de Segurança que Beneficiam a Todos <br/>Aplicativos e Usos Criptográficos em Segurança de Sistemas de Informação <br/>Criptoanálise e Chaves Públicas versus Chaves Privativas <br/>Princípios, Conceitos e Terminologia Criptográficos<br/>Funções Criptográficas e Cifras <br/>Tipos de Cifras <br/>Criptografia de Chave Simétrica e de Chave Assimétrica <br/>Chaves, Espaço de Chaves e Gerenciamento de Chaves <br/>Assinaturas Digitais e Funções Hash <br/>Aplicativos, Ferramentas e Recursos Criptográficos <br/>Padrões de Chave Simétrica <br/>Soluções de Chave Assimétrica <br/>Função de Hash e Integridade <br/>Assinaturas Digitais e Não Repúdio<br/>Princípios de Certificados e Gerenciamento de Chaves <br/>Técnicas Modernas de Gerenciamento de Chaves <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 9<br/><br/>CAPÍTULO 10 <br/>Redes e Telecomunicações <br/><br/>O Modelo de Referência de Interconexão de Sistemas Abertos<br/>Os Dois Tipos de Redes <br/>Redes Remotas <br/>Redes Locais<br/>TCP/IP e Seu Funcionamento <br/>Visão Geral de TCP/IP <br/>Endereçamento IP <br/>ICMP <br/>Riscos de Segurança de Rede <br/>Três Categorias de Risco <br/>Ferramentas Básicas de Defesa em Segurança de Rede <br/>Firewalls <br/>Redes Privativas Virtuais e Acesso Remoto <br/>Controle de Acesso à Rede <br/>Redes sem Fio <br/>Pontos de Acesso sem Fio (WAPs) <br/>Controles de Segurança de Rede sem Fio <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 10 <br/><br/>CAPÍTULO 11<br/>Código e Atividade Maliciosa <br/><br/>Características, Arquitetura e Operações de Software Malicioso<br/>Os Principais Tipos de Malware <br/>Vírus<br/>Spam <br/>Vermes <br/>Cavalos de Troia <br/>Bombas Lógicas <br/>Vulnerabilidades de Conteúdo Ativo <br/>Redes Robotizadas <br/>Ataques de Negação de Serviço <br/>Spyware <br/>Adware <br/>Phishing <br/>Capturadores de Teclado <br/>Boatos e Mitos <br/>Sequestro de Página Inicial <br/>Desfigurações de Página Web <br/>Uma Breve História de Ameaças de Código Malicioso <br/>Décadas de 1970 e Inicio de 1980: Pesquisa Acadêmica e UNIX <br/>Década de 1980: Primeiros Vírus em PCs <br/>Década de 1990: Primeiros Vírus em LANs <br/>Meados da Década de 1990: Aplicativos Inteligentes e a Internet <br/>2000 até o Presente<br/>Ameaças a Organizações Comerciais <br/>Tipos de Ameaças<br/>Ameaças Internas de Funcionários <br/>Anatomia de um Ataque <br/>O que Motiva Atacantes? <br/>A Finalidade de um Ataque <br/>Tipos de Ataques <br/>Fases de um Ataque <br/>Ferramentas e Técnicas de Prevenção de Ataque <br/>Defesas de Aplicativo <br/>Defesas de Sistema Operacional <br/>Defesas de Infraestrutura de Rede <br/>Técnicas e Práticas de Recuperação Seguras <br/>Implementando as Melhores Práticas Efetivas de Software <br/>Ferramentas e Técnicas de Detecção de Incidente <br/>Software de Varredura Antivirus <br/>Monitores e Analisadores de Rede <br/>Software de Filtragem e de Captura de Conteúdo/Contexto <br/>Honeypots e Honeynets <br/><br/>RESUMO DO CAPÍTULO<br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 11<br/><br/>PARTE III Padrões de Segurança de Informação, Educação, Certificações e Leis<br/><br/>CAPÍTULO 12 <br/>Padrões de Segurança de Informação<br/><br/>Organizações de Padrões <br/>NIST <br/>Organização Internacional para Padronização (ISO) <br/>Comissão Eletrotécnica Internacional (IEC) <br/>Consórcio da World Wide Web (W3C) <br/>Força-tarefa de Engenharia da Internet (IETF) <br/>IEEE <br/>Setor de Telecomunicações da União Internacional de Telecomunicações (ITU-T)<br/>ANSI <br/>ISO 17799 <br/>ISO/IEC 27002 <br/>PCI DSS <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 12 <br/><br/><br/>CAPÍTULO 13 <br/>Educação e Treinamento em Segurança de Informação <br/><br/>Autoestudo <br/>Programas Educacionais Continuados para Adultos <br/>Programas de Certificação <br/>Créditos de CPE <br/>Programas de Formação Pós-secundária <br/>Formação de Assistente <br/>Bacharelado <br/>Mestrado <br/>Doutorado <br/>Programas de Treinamento em Segurança de Informação <br/>Requisitos para Treinamento em Segurança <br/>Organizações de Treinamento em Segurança <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 13 <br/><br/>CAPÍTULO 14 <br/>Certificações Profissionais em Segurança de Informação <br/><br/>Certificações Profissionais Independentes de Vendedor <br/>(ISC)2 <br/>GIAC/SANS Institute <br/>CIW <br/>CompTIA <br/>SCP <br/>SACA <br/>Certificações Profissionais Especificas de Vendedor <br/>Cisco Systems <br/>Juniper Networks <br/>RSA <br/>Symantec <br/>Check Point <br/>DoD/Military - 8570.01 <br/><br/>RESUMO DO CAPÍTULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 14 <br/><br/>CAPÍTULO 15 <br/>Leis de Conformidade nos Estados Unidos <br/><br/>Conformidade e a Lei <br/>A Lei Federal de Gerenciamento de Segurança da Informação <br/>Finalidade e Principais Requisitos <br/>O Papel do Instituto Nacional de Padrões e Tecnologia <br/>Sistemas de Segurança Nacional <br/>Supervisão<br/>O Futuro da FISMA <br/>A Lei de Responsabilidade e Portabilidade de Seguro-Saúde <br/>Finalidade e Escopo <br/>Principais Requisitos da Regra de Privacidade da HIPAA<br/>Principais Requisitos da Regra de Segurança da HIPAA <br/>Supervisão <br/>A Lei de Gramm, Leach e Bliley <br/>Finalidade e Escopo <br/>Principais Requisitos da Regra de Privacidade da GLBA <br/>Principais Requisitos da Regra de Salvaguardas da GLBA<br/>Supervisão<br/>A Lei de Sarbanes e Oxley <br/>Finalidade e Escopo <br/>Requisitos de Certificação de Controle da SOX <br/>Requisitos de Retenção de Registros da SOX <br/>Supervisão <br/>A Lei de Direitos Educacionais de Família e Privacidade <br/>Finalidade e Escopo <br/>Principais Requisitos <br/>Supervisão <br/>A Lei de Proteção a Crianças na Internet <br/>Finalidade e Escopo <br/>Principais Requisitos <br/>Supervisão <br/>Entendendo Leis para Cumprimento de Segurança de Informação <br/><br/>RESUMO DO CAPITULO <br/>PRINCIPAIS CONCEITOS E TERMOS <br/>AVALIAÇÃO DO CAPÍTULO 15 <br/>NOTAS FINAIS <br/><br/>Gabarito de Respostas <br/>Acrônimos Comuns <br/>Torne-se um SSCP® <br/>Exame Prático para SSCP® <br/>Glossário de Termos Importantes <br/>Referências <br/>Índice <br/><br/><br/> |