A Ferramenta IBM Rational AppScan classifica a ISO 27001 por Sessões em
seu relatório, sendo 24 sessões ao todo, posteriormente classifica as
vulnerabilidades em uma ou mais sessões. Veremos abaixo as sessões que o
AppScan cobre de acordo com a ISO 27001.
Seção - 01
A.6.2.1 Identificação dos riscos
relacionados com partes externas
Controle
Os riscos para os recursos de
processamento da informação e para a informação da organização oriundos de
processos do negócio que envolvam as partes externas devem ser identificados e
controles apropriados devem ser implementados antes de se conceder o acesso.
Seção - 02
A.6.2.2 Identificando a segurança da
informação quando tratando com os clientes.
Controle
Todos os requisitos de segurança da
informação identificados devem ser considerados antes de conceder aos clientes
o acesso aos ativos ou às informações da organização.
Seção - 03
A.8.3.3 Retirada de direitos de
acesso
Controle
Os direitos de acesso de todos os
funcionários, fornecedores e terceiros às informações e aos recursos de
processamento da informação devem ser retirados após o encerramento de suas
atividades, contratos ou acordos, ou devem ser ajustados após a mudança destas
atividades.
Seção - 04
A.10.3.1 Gestão de capacidade
Controle
A utilização dos recursos deve ser
monitorada e sincronizada e as projeções devem ser feitas para necessidades de
capacidade futura, para garantir o desempenho requerido do sistema.
Seção - 05
A.10.8.1 Políticas e procedimentos
para troca de informações
Controle
Políticas, procedimentos e controles
devem ser estabelecidos e formalizados para proteger a troca de informações em
todos os tipos de recursos de comunicação.
Seção - 06
A.10.9.1 Comércio eletrônico
Controle
As informações envolvidas em
comércio eletrônico transitando sobre redes públicas devem ser protegidas de
atividades fraudulentas, disputas contratuais, divulgação e modificações não
autorizadas.
Seção - 07
A.10.9.2 Transações on-line
Controle
Informações envolvidas em transações
on-line devem ser protegidas para prevenir transmissões incompletas,
erros de roteamento, alterações não autorizadas de mensagens, divulgação não
autorizada, duplicação ou reapresentação de mensagem não autorizada.
Seção - 08
10.9.3 Informações publicamente
disponíveis
Controle
A integridade das informações
disponibilizadas em sistemas publicamente acessíveis deve ser protegida, para
prevenir modificações não autorizadas.
Seção - 09
A.11.2.2 Gerenciamento de
privilégios
Controle
A concessão e o uso de privilégios
devem ser restritos e controlados.
Seção - 10
A.11.2.3 Gerenciamento de senha do
usuário
Controle
A concessão de senhas deve ser
controlada por meio de um processo de gerenciamento formal.
Seção - 11
A.11.2.4 Análise crítica dos
direitos de acesso de usuário
Controle
O gestor deve conduzir a intervalos
regulares a análise crítica dos direitos de acesso dos usuários, por meio de um
processo formal.
Seção - 12
A.11.4.2 Autenticação para conexão
externa do usuário
Controle
Métodos apropriados de autenticação
devem ser usados para controlar o acesso de usuários remotos.
Seção - 13
A.11.5.2 Identificação e autenticação
de usuário
Controle
Todos os usuários devem ter um
identificador único (ID de usuário), para uso pessoal e exclusivo, e uma
técnica adequada de autenticação deve ser escolhida para validar a identidade
alegada por um usuário.
Seção - 14
A.11.5.5 Desconexão de terminal por
inatividade
Controle
Terminais inativos(Inactive
sessions) devem ser desconectados após um período definido de
inatividade.
Seção - 15
A.11.5.6 Limitação de horário de
conexão
Controle
Restrições nos horários de conexão (Tempo
de Conexão) devem ser utilizadas para proporcionar segurança adicional para
aplicações de alto risco.
Seção - 16
A.11.6.1 Restrição de acesso à
informação
Controle
O acesso à informação e às funções
dos sistemas de aplicações por usuários e pessoal de suporte deve ser restrito
de acordo com o definido na política de controle de acesso.
Seção - 17
A.12.2.1 Validação dos dados de
entrada
Controle
Os dados de entrada de aplicações
devem ser validados para garantir que são corretos e apropriados.
Seção - 18
A.12.2.2 Controle do processamento
interno
Controle
Devem ser incorporadas, nas
aplicações, checagens de validação com o objetivo de detectar qualquer
corrupção de informações, por erros ou por ações deliberadas.
Seção - 19
A.12.2.3 Integridade de mensagens
Controle
Requisitos para garantir a
autenticidade e proteger a integridade das mensagens em aplicações devem ser
identificados e os controles apropriados devem ser identificados e
implementados.
Seção - 20
A.12.3.1 Política para o uso de
controles criptográficos
Controle
Deve ser desenvolvida e implementada
uma política para o uso de controles criptográficos para a proteção da
informação.
Seção - 21
A.12.4.3 Controle de acesso ao
código- fonte de programa
Controle
O acesso ao código-fonte de programa
deve ser restrito.
Seção - 22
A.12.5.4 Vazamento de informações
Controle
Oportunidades para vazamento de
informações devem ser prevenidas.
Seção - 23
A.15.1.3 Proteção de registros
organizacionais
Controle
Registros importantes devem ser
protegidos contra perda, destruição e falsificação, de acordo com os requisitos
regulamentares, estatutários, contratuais e do negócio.
Seção - 24
A.15.1.4 Proteção de dados e
privacidade da informação pessoal
Controle
A privacidade
e a proteção de dados devem ser asseguradas conforme exigido nas legislações
relevantes, regulamentações e, se aplicável, nas cláusulas contratuais.
Nenhum comentário:
Postar um comentário