Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Resumo Abnt NBR Iso 27002 2005

    Enviado por

    niltaodomovimento
    21 visualizações8 páginas

    Título original

    Resumo Abnt Nbr Iso 27002 2005

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    21 visualizações8 páginas

    Resumo Abnt NBR Iso 27002 2005

    Enviado por

    niltaodomovimento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 8

    ABNT NBR ISO/IEC 27002:2005

    Cdigo de prtica para a gesto da segurana da informao


    A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novo esquema de numerao como ISO/IEC 27002.

    0 Introduo 0.1 O que segurana da informao? Informao

    um ativo

    Essencial

    Necessita ser adequadamente protegida.

    Para os negcios de uma organizao.

    Segurana da Informao

    Obtida a partir da implementao de um conjunto de controles adequados.

    a proteo da informao

    De vrios tipos de ameaas.

    Maximizar: Garantir a continuidade do negcio. Minimizar o risco ao negcio. Retorno sobre os investimentos Oportunidades de negcio.

    Polticas. Procedimentos Processos.

    Controles
    Funes de software e hardware. Precisam ser: Garantir o atendimento: Estabelecidos. Monitorados. Objetivos do negcio. Implementados. Analisados criticamente. Melhorados. Segurana da organizao.

    Estruturas organizacionais

    Convm que isto seja feito em conjunto com outros processos de gesto do negcio.

    0.2 Por que a segurana da informao necessria?

    Processos de apoio.

    Informao.

    Sistemas.

    Ativos para os negcios

    Redes.

    Atividades Essenciais:
    Segurana da informao
    Definir, Alcanar. Manter. Melhorar.

    Importante para o negcio (setores pblico / privado). Evitar ou reduzir os riscos.

    Asseguram

    Competitividade. Fluxo de caixa. Lucratividade.

    Atendimento:

    Requisitos legais.

    Imagem da organizao junto ao mercado.

    A tendncia da computao distribuda reduz a eficcia da implementao de um controle de acesso centralizado.

    0.3 Como estabelecer requisitos de segurana da informao

    Fontes principais de requisitos (3 fontes) 1 Fonte

    Anlise / avaliao de riscos para a organizao.

    Considera

    Identifica

    Realiza

    Objetivos e as estratgias globais de negcio da organizao.

    Ameaas aos ativos e as vulnerabilidades destes.

    Estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio.

    Fontes principais de requisitos (3 fontes) 2 Fonte

    Legislao vigente.

    Estatutos.

    Regulamentao

    Seu ambiente sociocultural.

    Organizao.

    Clusulas contratuais (atender).

    Provedores de servio.

    Seus parceiros comerciais.

    Contratados.

    Fontes principais de requisitos (3 fontes) 3 Fonte Para o processamento da informao (apoiar operaes)

    Conjunto particular (do negcio):

    Princpios.

    Objetivos.

    Requisitos.

    0.4 Analisando/avaliando os riscos de segurana da informao

    Os gastos com os controles...

    Balanceados de acordo ...

    Com os danos causados aos negcios...

    Gerados pelas potenciais falhas na segurana da informao.

    Convm que a anlise/avaliao de riscos seja repetida periodicamente para contemplar quaisquer mudanas que possam influenciar os resultados desta anlise/avaliao.

    0.5 Seleo de controles

    Uma vez identificados:

    Requisitos de segurana da informao

    Riscos

    Convm que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel.

    Desta Norma (27002)

    Outro conjunto de controles.

    Novos controles.

    Seleo de controles

    Depende das decises da organizao, baseadas:

    Nos critrios para aceitao de risco.

    Nas opes para tratamento do risco.

    No enfoque geral da gesto de risco aplicado organizao.

    Convm que tambm esteja sujeito a todas as legislaes e regulamentaes nacionais e internacionais, relevantes.

    0.6 Ponto de partida para a segurana da informao


    Sob o ponto de vista legal:

    a) Proteo de dados e privacidade de informaes pessoais (ver 15.1.4); b) Proteo de registros organizacionais (ver 15.1.3); c) Direitos de propriedade intelectual (ver 15.1.2).

    Prticas para a segurana da informao

    a) Documento da poltica de segurana da informao (ver 5.1.1);


    b) c) d) e) f) Atribuio de responsabilidades para a segurana da informao (ver 6.1.3); Conscientizao, educao e treinamento em segurana da informao (ver 8.2.2); Processamento correto nas aplicaes (ver 12.2); Gesto de vulnerabilidades tcnicas (ver 12.6); Gesto da continuidade do negcio (ver seo 14); g) Gesto de incidentes de segurana da informao e melhorias (ver 13.2). Embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a seleo de controles, baseado na anlise/avaliao de riscos.

    0.7 Fatores crticos de sucesso

    Poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos do negcio;


    a) Uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao que seja consistente com a cultura organizacional; b) Comprometimento e apoio visvel de todos os nveis gerenciais; c) Um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da gesto de risco; d) Divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao; e) Distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas; f) Proviso de recursos financeiros para as atividades da gesto de segurana da informao; g) Proviso de conscientizao, treinamento e educao adequados; h) Estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao; i) Implementao de um sistema de medio, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes para a melhoria.
    As medies de segurana da informao esto fora do escopo desta Norma.

    0.8 Desenvolvendo suas prprias diretrizes

    Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Controles adicionais e recomendaes no includos nesta Norma podem ser necessrios.

    Você também pode gostar