Tradução de: Fundamentals of information systems security.

SUMÁRIO

Carta do Diretor Executivo da (ISC)2 W. Hord Tipton
Prefácio
Agradecimentos

PARTE I
A Necessidade de Segurança da Informação

CAPÍTULO 1
Segurança de Sistemas de Informação

Segurança de Sistemas de Informação
Riscos, Ameaças e Vulnerabilidades
Definição de Segurança de Sistemas de informação
Leis de Conformidade nos Estados Unidos Impulsionam a Necessidade de Segurança de
Sistemas de Informação
Princípios de Segurança de Sistemas de Informação
Disponibilidade
Integridade
Confidencialidade
Os Sete Domínios de uma lnfraestrutura Típica de Ti
Domínio do Usuário
Domínio da Estação de Trabalho
Domínio de LAN
Domínio de LAN para WAN
Domínio de WAN
Domínio de Acesso Remoto
Domínio de Sistema/Aplicativo
Elo Mais Fraco na Segurança de uma Infraestrutura de Ti
Ética e a Internet
(ISC)2: Certificação de Segurança em Sistemas de Informação
Certificação Profissional SSCP
Certificação Profissional CISSP
Código de Ética da (ISC)2
Estrutura de Política de Segurança de Ti
Definições
Políticas de Base de Segurança de TI
Padrões de Classificação de Dados

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 1

CAPÍTULO 2
Mudança do Modo como Pessoas e Empresas se Comunicam

Evolução de Comunicações por Voz
De Analógico para Digital
Riscos, Ameaças e Vulnerabilidades de Telefonia
Melhores Práticas de Segurança de Telefonia
De Digital para Voz sobre IP (VoIP - Voice over IP)
Riscos, Ameaças e Vulnerabilidades de VoIP e SIP
Melhores Práticas de Segurança de VoIP e SIP
Conversão para um Mundo TCP/IP
Como Diferentes Grupos se Comunicam
Avanço da Banda Larga na Década de 1990
Transformação de Provedores de Serviços de Telecomunicação para IP
Comunicações Multimodais
Migração para Voz sobre IP (VoIP)
Comunicações Unificadas (UC)
Solução de Desafios de Negócios com Comunicações Unificadas
Evolução do Comércio de Loja Física para Comércio Eletrônico
Solução de Desafios de Negócios com Transformação de Negócios Eletrônicos
Por que as Empresas, Hoje, Precisam de uma Estratégia de Marketing pela Internet
O Efeito da Web sobre Pessoas, Empresas e Outras Organizações

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 2

CAPÍTULO 3
Ataques Maliciosos, Ameaças e Vulnerabilidades

Atividade Maliciosa Crescente
O que Você Está Tentando Proteger?
TI e lnfraestrutura de Rede
Propriedade Intelectual
Finanças e Dados Financeiros
Disponibilidade de Serviço e Produtividade
Reputação
Quem Você Está Tentando Pegar?
Ferramentas de Ataque
Programas para Varredura de Vulnerabilidade
Programas para Varredura de Porta
Farejadores
Discadores
Programa para Captura de Teclado
O que É uma Brecha de Segurança?
Ataques de Negação de Serviço
Ataques de Negação de Serviço Distribuída
Navegação Web Inaceitável
Espionagem Telefônica
Porta dos Fundos
Modificações de Dados
Desafios de Segurança Adicionais
O que São Vulnerabilidades e Ameaças?
Alvos de Ameaça
Tipos de Ameaça
O que É um Ataque Malicioso?
Ataques de Força Bruta
Ataques de Dicionário
Falsificação de Endereço
Sequestro
Ataques de Retransmissão
Ataques de Homem no Meio
Disfarce
Interceptação
Engenharia Social
Phreaking
Phishing
Pharming
O que É Software Malicioso?
Vírus
Vermes
Cavalos de Troia
Rootkits
Programa Espião
O que São Contramedidas?
Combatendo o Malware
Protegendo Seu Sistema com Firewalls

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 3

CAPÍTULO 4
Os Propulsores do Negócio de Segurança da Informação

Definição de Gerenciamento de Riscos
Identificação de Riscos
Análise de Risco
Planejamento de Resposta a Riscos
Monitoramento e Controle de Riscos
Implementação de uma BIA, um BCP e um DRP
Análise de Impacto nos Negócios
Plano de Continuidade de Negócios
Plano de Recuperação de Desastre
Avaliando Riscos, Ameaças e Vulnerabilidades
Fechando a Lacuna de Segurança de Informação
Aderindo a Leis de Conformidade
Mantendo Dados Privativos Confidenciais

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 4

PARTE II A Certificação Profissional Systems SeCurity Certified Practitioner (SSCP®) da (ISC)2

CAPÍTULO 5
Controles de Acesso

As Quatro Partes de Controle de Acesso
Os Dois Tipos de Controle de Acesso
Controle de Acesso Físico
Controle de Acesso Lógico
Definindo uma Política de Autorização
Métodos e Diretrizes de Identificação
Métodos de Identificação
Diretrizes de Identificação
Processos e Requisitos de Autenticação
Tipos de Autenticação
Single Sign-On (SSO)
Políticas e Procedimentos de Responsabilização
Arquivos de Histórico
Retenção de Dados, Descarte de Mídia e Requisitos de Conformidade
Modelos Formais de Controle de Acesso
Controle de Acesso Discricionário (DAC)
Controle de Acesso Obrigatório (MAC)
Controle de Acesso Não Discricionário
Controle de Acesso Baseado em Regra
Listas de Controle de Acesso (ACLs)
Controle de Acesso Baseado em Função (RBAC)
Controle de Acesso Dependente de Conteúdo
Interface Restrita de Usuário
Outros Modelos de Controle de Acesso
Efeitos de Brechas em Controle de Acesso
Ameaças a Controles de Acesso
Efeitos de Violações de Controle de Acesso
Controle de Acesso Centralizado e Descentralizado
Três Tipos de Servidores AAA
Controle de Acesso Descentralizado
Privacidade

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 5

CAPÍTULO 6
Operações e Administração de Segurança

Administração de Segurança
Controlando Acesso
Documentação, Procedimentos e Diretrizes
Avaliação e Recuperação de Desastre
Terceirização de Segurança
Conformidade
Históricos de Evento de Segurança
Coordenador de Conformidade
Remediação
Ética Profissional
Enganos Comuns sobre Ética
Códigos de Ética
Princípios de Segurança de Pessoal
A Infraestrutura de uma Política de Segurança de TI
Políticas
Padrões
Procedimentos
Linhas de Base
Diretrizes
Padrões de Classificação de Dados
Objetivos de Classificação de Informação
Exemplos de Classificação
Procedimentos de Classificação
Garantia
Gerenciamento de Configuração
Inventário de Hardware e Mapa de Configuração
O Processo de Gerenciamento de Mudança
Gerenciamento de Controle de Mudança
Comitês de Controlo do Mudança
Procedimentos de Controle de Mudança
Problemas em Controle de Mudança
O Ciclo de Vida de Sistema (SLC) e o Ciclo de Vida de Desenvolvimento de Sistema (SDLC)
O Ciclo de Vida de Sistema (SLC)
Testando e Desenvolvendo Sistemas
Desenvolvimento de Software e Segurança
Métodos de Desenvolvimento de Software

RESUMO DO CAPITULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 6

CAPÍTULO 7
Auditoria, Teste e Monitoramento

Auditoria e Análise de Segurança
Controles de Segurança Tratam de Risco
Determinando o que é aceitável
Níveis de Permissão
Áreas de Auditorias de Segurança
Finalidade de Auditorias
Confiança de Clientes
Definindo Seu Plano de Auditoria
Definindo o Escopo do Plano
Padrões de Referência de Auditoria
Dados de Auditoria - Métodos de Coleta
Áreas de Auditorias de Segurança
Verificações de Controle e Gerenciamento de Identidade
Atividades Pós-auditoria
Entrevista de Saída
Análise de Dados
Geração de Relatório de Auditoria
Apresentação de Descobertas
Monitoramento de Segurança
Monitoramento de Segurança para Sistemas Computacionais
Questões de Monitoramento
Histórico de Anomalias
Gerenciamento de Histórico
Tipos de Informação de Histórico a Capturar
Como Verificar Controles de Segurança
Sistema de Detecção de Intrusos (IDS)
Métodos de Análise
HIDS
Defesa em Camadas: Controle de Acesso a Rede
Verificações de Controle: Detecção de Intrusão
Isolamento de Computador (host)
Reforço de Sistema
Análise de Programa Antivírus
Monitoramento e Teste de Sistemas de Segurança
Monitoramento
Teste

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 7

CAPÍTULO 8
Risco, Resposta e Recuperação

Gerenciamento de Risco e Segurança de Informação
Definições de Risco
Elementos de Risco
Finalidade de Gerenciamento de Risco
A Equação de Risco
O Processo de Gerenciamento de Risco
Análise de Risco
Ameaças Emergentes
Duas Abordagens: Quantitativa e Qualitativa
Calculando Risco Quantificado
Análise Qualitativa de Risco
Desenvolvendo uma Estratégia para Lidar com Risco
Faixa Aceitável de Risco/Risco Residual
Avaliando Contramedidas
Precificação/Custo de uma Contramedida
Avaliação de Contramedida
Controles e Seu Lugar no Ciclo de Vida de Segurança
Planejamento para Sobreviver
Terminologia
Avaliando o Tempo Máximo Tolerável de Paralisação (MTD)
Análise de Impacto em Empresas
Revisão do Plano
Testando o Plano
Copiando Dados e Aplicativos
Tipos de Cópias de Segurança
Etapas a Seguir ao Lidar com um Incidente
Notificação
Resposta
Recuperação
Acompanhamento
Documentação
Recuperação de um Desastre
Principais Etapas para Recuperação de Desastre
Ativando o Plano de Recuperação de Desastre
Operando em um Ambiente Reduzido/Modificado
Restaurando Sistemas Danificados
Questões sobre Recuperação de Desastre
Alternativas de Recuperação
Estratégias de Processamento Temporário ou Alternativo

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 8

CAPÍTULO 9
Criptografia

O que É Criptografia?
Princípios Básicos de Criptografia
Uma Breve História de Criptografia
Papel da Criptografia em Segurança de Informação
Requisitos Comerciais e de Segurança para Criptografia
Segurança Interna
Segurança entre Empresas
Medidas de Segurança que Beneficiam a Todos
Aplicativos e Usos Criptográficos em Segurança de Sistemas de Informação
Criptoanálise e Chaves Públicas versus Chaves Privativas
Princípios, Conceitos e Terminologia Criptográficos
Funções Criptográficas e Cifras
Tipos de Cifras
Criptografia de Chave Simétrica e de Chave Assimétrica
Chaves, Espaço de Chaves e Gerenciamento de Chaves
Assinaturas Digitais e Funções Hash
Aplicativos, Ferramentas e Recursos Criptográficos
Padrões de Chave Simétrica
Soluções de Chave Assimétrica
Função de Hash e Integridade
Assinaturas Digitais e Não Repúdio
Princípios de Certificados e Gerenciamento de Chaves
Técnicas Modernas de Gerenciamento de Chaves

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 9

CAPÍTULO 10
Redes e Telecomunicações

O Modelo de Referência de Interconexão de Sistemas Abertos
Os Dois Tipos de Redes
Redes Remotas
Redes Locais
TCP/IP e Seu Funcionamento
Visão Geral de TCP/IP
Endereçamento IP
ICMP
Riscos de Segurança de Rede
Três Categorias de Risco
Ferramentas Básicas de Defesa em Segurança de Rede
Firewalls
Redes Privativas Virtuais e Acesso Remoto
Controle de Acesso à Rede
Redes sem Fio
Pontos de Acesso sem Fio (WAPs)
Controles de Segurança de Rede sem Fio

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 10

CAPÍTULO 11
Código e Atividade Maliciosa

Características, Arquitetura e Operações de Software Malicioso
Os Principais Tipos de Malware
Vírus
Spam
Vermes
Cavalos de Troia
Bombas Lógicas
Vulnerabilidades de Conteúdo Ativo
Redes Robotizadas
Ataques de Negação de Serviço
Spyware
Adware
Phishing
Capturadores de Teclado
Boatos e Mitos
Sequestro de Página Inicial
Desfigurações de Página Web
Uma Breve História de Ameaças de Código Malicioso
Décadas de 1970 e Inicio de 1980: Pesquisa Acadêmica e UNIX
Década de 1980: Primeiros Vírus em PCs
Década de 1990: Primeiros Vírus em LANs
Meados da Década de 1990: Aplicativos Inteligentes e a Internet
2000 até o Presente
Ameaças a Organizações Comerciais
Tipos de Ameaças
Ameaças Internas de Funcionários
Anatomia de um Ataque
O que Motiva Atacantes?
A Finalidade de um Ataque
Tipos de Ataques
Fases de um Ataque
Ferramentas e Técnicas de Prevenção de Ataque
Defesas de Aplicativo
Defesas de Sistema Operacional
Defesas de Infraestrutura de Rede
Técnicas e Práticas de Recuperação Seguras
Implementando as Melhores Práticas Efetivas de Software
Ferramentas e Técnicas de Detecção de Incidente
Software de Varredura Antivirus
Monitores e Analisadores de Rede
Software de Filtragem e de Captura de Conteúdo/Contexto
Honeypots e Honeynets

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 11

PARTE III Padrões de Segurança de Informação, Educação, Certificações e Leis

CAPÍTULO 12
Padrões de Segurança de Informação

Organizações de Padrões
NIST
Organização Internacional para Padronização (ISO)
Comissão Eletrotécnica Internacional (IEC)
Consórcio da World Wide Web (W3C)
Força-tarefa de Engenharia da Internet (IETF)
IEEE
Setor de Telecomunicações da União Internacional de Telecomunicações (ITU-T)
ANSI
ISO 17799
ISO/IEC 27002
PCI DSS

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 12


CAPÍTULO 13
Educação e Treinamento em Segurança de Informação

Autoestudo
Programas Educacionais Continuados para Adultos
Programas de Certificação
Créditos de CPE
Programas de Formação Pós-secundária
Formação de Assistente
Bacharelado
Mestrado
Doutorado
Programas de Treinamento em Segurança de Informação
Requisitos para Treinamento em Segurança
Organizações de Treinamento em Segurança

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 13

CAPÍTULO 14
Certificações Profissionais em Segurança de Informação

Certificações Profissionais Independentes de Vendedor
(ISC)2
GIAC/SANS Institute
CIW
CompTIA
SCP
SACA
Certificações Profissionais Especificas de Vendedor
Cisco Systems
Juniper Networks
RSA
Symantec
Check Point
DoD/Military - 8570.01

RESUMO DO CAPÍTULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 14

CAPÍTULO 15
Leis de Conformidade nos Estados Unidos

Conformidade e a Lei
A Lei Federal de Gerenciamento de Segurança da Informação
Finalidade e Principais Requisitos
O Papel do Instituto Nacional de Padrões e Tecnologia
Sistemas de Segurança Nacional
Supervisão
O Futuro da FISMA
A Lei de Responsabilidade e Portabilidade de Seguro-Saúde
Finalidade e Escopo
Principais Requisitos da Regra de Privacidade da HIPAA
Principais Requisitos da Regra de Segurança da HIPAA
Supervisão
A Lei de Gramm, Leach e Bliley
Finalidade e Escopo
Principais Requisitos da Regra de Privacidade da GLBA
Principais Requisitos da Regra de Salvaguardas da GLBA
Supervisão
A Lei de Sarbanes e Oxley
Finalidade e Escopo
Requisitos de Certificação de Controle da SOX
Requisitos de Retenção de Registros da SOX
Supervisão
A Lei de Direitos Educacionais de Família e Privacidade
Finalidade e Escopo
Principais Requisitos
Supervisão
A Lei de Proteção a Crianças na Internet
Finalidade e Escopo
Principais Requisitos
Supervisão
Entendendo Leis para Cumprimento de Segurança de Informação

RESUMO DO CAPITULO
PRINCIPAIS CONCEITOS E TERMOS
AVALIAÇÃO DO CAPÍTULO 15
NOTAS FINAIS

Gabarito de Respostas
Acrônimos Comuns
Torne-se um SSCP®
Exame Prático para SSCP®
Glossário de Termos Importantes
Referências
Índice