Fórum de discussão
Consulte abaixo todas as dúvidas e comentários relacionados a este curso. Se você tem alguma dúvida, utilize o botão CRIAR NOVO TÓPICO. Verifique antes se a sua dúvida já não foi enviada por outro aluno.
Enviado em 10/03/2014 06:45
Poderia me explicar melhor o controle e como atendê-lo?
Poderia exemplificar com algum caso prático?
Enviado em 13/03/2014 11:23
12.1.1 Análise e especificação dos requisitos de segurança
Controle
Convém que sejam especificados os requisitos para controles de segurança nas especificações de requisitos
de negócios, para novos sistemas de informação ou melhorias em sistemas existentes.
Diretrizes para implementação
Convém que as especificações para os requisitos de controles, nos sistemas de informação, considerem os
controles automáticos a serem incorporados, assim como a necessidade de apoiar controles manuais. Convém
que considerações similares sejam aplicadas quando da avaliação de pacotes de softwares, desenvolvidos
internamente ou comprados, para as aplicações de negócios.
Convém que requisitos de segurança e controles reflitam o valor para o negócio dos ativos de informação
envolvidos (ver 7.2), e os danos potenciais ao negócio que poderiam resultar de uma falha ou ausência de
segurança.
Convém que os requisitos de sistemas para a segurança da informação, bem como os processos para
implementá-la sejam integrados aos estágios iniciais dos projetos dos sistemas de informação. Controles
introduzidos no estágio de projeto são significativamente mais baratos para implementar e manter do que
aqueles incluídos durante ou após a implementação.
Convém que, no caso de produtos comprados, um processo formal de aquisição e testes seja seguido.
Convém que contratos com fornecedores levem em consideração os requisitos de segurança identificados.
Nas situações em que funcionalidades de segurança de um produto proposto não satisfaçam requisitos
especificados, convém que o risco introduzido, assim como os controles associados, sejam reconsiderados
antes da compra do produto. Nas situações em que as funcionalidades adicionais incorporadas acarretem
riscos à segurança, convém que estas sejam desativadas ou a estrutura de controles proposta seja analisada
criticamente para determinar se há vantagem na utilização das funcionalidades em questão.
Informações adicionais
Se considerado apropriado, por exemplo, por razões de custos, o gestor pode considerar o uso de produtos
avaliados e certificados por entidade independente. Informação adicional sobre critérios de avaliação de
produtos pode ser encontrada na ISO/IEC 15408 ou em outras normas de avaliação ou certificação
apropriadas.
Para que continuemos desenvolvendo novos cursos com preços acessíveis, contamos com a sua colaboração. O conteúdo dos nossos cursos não pode ser redistribuído de qualquer forma ou por qualquer meio. Somente o aluno devidamente inscrito nos cursos poderá fazer uso dos nossos materiais. Se você identificar que alguém está usando indevidamente o conteúdo dos nossos cursos, ou distribuindo-o ilegalmente, por favor avise-nos imediatamente através do e-mail contato@tiexames.com.br. Veja as condições de uso dos nossos conteúdos.
Leia a licença de uso