Com base na ABNT NBR ISO/IEC 17799/2005, que trata de questões de segurança da informação nas organizações.
As ações que minimizam o risco de vazamento de informações mediante o uso e a exploração de covert channels incluem a varredura do envio de mídias e comunicações, para verificação da presença de informação oculta; o mascaramento e a modulação do comportamento dos sistemas e das comunicações, a fim de evitar que terceiros subtraiam informações dos sistemas; e o monitoramento regular do uso dos recursos computacionais e das atividades do pessoal.
- Certo Errado
ABNT NBR ISO/IEC 17799/2005
12.5.4 Vazamento de informações
Controle
Convém que oportunidades para vazamento de informações sejam prevenidas.
Diretrizes para implementação
Convém que os seguintes itens sejam considerados, para limitar o risco de vazamento de informações, por exemlpo através do uso e exploração de covert channels*:
a) a varredura do envio de mídia e comunicações para verificar a presença de informação oculta;
b) o mascaramento e a modulação do comportamento dos sistemas e das comunicações para reduzir a possibilidade de terceiros deduzirem informações a partir do comportamento dos sistemas;
c) a utilização de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando produtos avaliados;
d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislação ou regulamentação vigente;
e) o monitoramento do uso de recursos de sistemas de computação.
* Os covert channels são caminhos não previstos para conduzir fluxo de informações, mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipulação de bits no protocolo de pacotes de comunição poderia ser utilizada como um método oculto de sinalização. Devido à sua natureza, seria difícil, se não impossivel, precarver-se contra a existência de todos os possíveis covert channels. No entanto, a exploração destes canais frequentemente é realizada por código troiano. A adoção de medidas de proteção contra código troiano reduz, consequentemente, o risco de exploração decovert channels.
12.5.4 Vazamento de informações
Controle
Convém que oportunidades para vazamento de informações sejam prevenidas.
Diretrizes para implementação
Convém que os seguintes itens sejam considerados, para limitar o risco de vazamento de informações, por exemlpo através do uso e exploração de covert channels*:
a) a varredura do envio de mídia e comunicações para verificar a presença de informação oculta;
b) o mascaramento e a modulação do comportamento dos sistemas e das comunicações para reduzir a possibilidade de terceiros deduzirem informações a partir do comportamento dos sistemas;
c) a utilização de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando produtos avaliados;
d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislação ou regulamentação vigente;
e) o monitoramento do uso de recursos de sistemas de computação.
* Os covert channels são caminhos não previstos para conduzir fluxo de informações, mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipulação de bits no protocolo de pacotes de comunição poderia ser utilizada como um método oculto de sinalização. Devido à sua natureza, seria difícil, se não impossivel, precarver-se contra a existência de todos os possíveis covert channels. No entanto, a exploração destes canais frequentemente é realizada por código troiano. A adoção de medidas de proteção contra código troiano reduz, consequentemente, o risco de exploração decovert channels.
Nenhum comentário:
Postar um comentário