Cdigo de prtica para a gesto da segurana da informao
0 Introduo 0.1 O que segurana da informao?
Informao um ativo Essencial Necessita ser adequadamente protegida. Para os negcios de uma organizao. Segurana da Informao a proteo da informao De vrios tipos de ameaas. Garantir a continuidade do negcio. Minimizar o risco ao negcio. Maximizar: Retorno sobre os investimentos Oportunidades de negcio. Obtida a partir da implementao de um conjunto de controles adequados.
A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novo esquema de numerao como ISO/IEC 27002.
0.2 Por que a segurana da informao necessria?
Controles Polticas. Processos. Procedimentos Estruturas organizacionais Funes de software e hardware. Precisam ser: Estabelecidos. Implementados. Monitorados. Analisados criticamente. Melhorados. Garantir o atendimento: Objetivos do negcio. Segurana da organizao.
Convm que isto seja feito em conjunto com outros processos de gesto do negcio.
Ativos para os negcios Informao. Processos de apoio. Sistemas. Redes.
Segurana da informao Asseguram Competitividade. Fluxo de caixa. Lucratividade. Atividades Essenciais:
Definir, Alcanar. Manter. Melhorar.
Atendimento: Requisitos legais. Imagem da organizao junto ao mercado. Importante para o negcio (setores pblico / privado). Evitar ou reduzir os riscos.
A tendncia da computao distribuda reduz a eficcia da implementao de um controle de acesso centralizado.
0.3 Como estabelecer requisitos de segurana da informao
Fontes principais de requisitos (3 fontes) 1 Fonte Anlise / avaliao de riscos para a organizao. Considera Identifica Objetivos e as estratgias globais de negcio da organizao. Ameaas aos ativos e as vulnerabilidades destes. Realiza Estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio.
Fontes principais de requisitos (3 fontes) 2 Fonte Legislao vigente. Estatutos. Regulamentao Seu ambiente sociocultural. Clusulas contratuais (atender). Organizao. Seus parceiros comerciais. Contratados. Provedores de servio.
0.4 Analisando/avaliando os riscos de segurana da informao
Fontes principais de requisitos (3 fontes) 3 Fonte Conjunto particular (do negcio): Princpios. Objetivos. Requisitos. Para o processamento da informao (apoiar operaes)
Os gastos com os controles... Balanceados de acordo ... Com os danos causados aos negcios... Gerados pelas potenciais falhas na segurana da informao. Convm que a anlise/avaliao de riscos seja repetida periodicamente para contemplar quaisquer mudanas que possam influenciar os resultados desta anlise/avaliao.
0.5 Seleo de controles
Uma vez identificados: Requisitos de segurana da informao Riscos Convm que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. Seleo de controles Desta Norma (27002) Outro conjunto de controles. Novos controles. Depende das decises da organizao, baseadas: Nos critrios para aceitao de risco. Nas opes para tratamento do risco. No enfoque geral da gesto de risco aplicado organizao. Convm que tambm esteja sujeito a todas as legislaes e regulamentaes nacionais e internacionais, relevantes.
0.6 Ponto de partida para a segurana da informao
Sob o ponto de vista legal: a) Proteo de dados e privacidade de informaes pessoais (ver 15.1.4); b) Proteo de registros organizacionais (ver 15.1.3); c) Direitos de propriedade intelectual (ver 15.1.2). Prticas para a segurana da informao a) Documento da poltica de segurana da informao (ver 5.1.1); b) Atribuio de responsabilidades para a segurana da informao (ver 6.1.3); c) Conscientizao, educao e treinamento em segurana da informao (ver 8.2.2); d) Processamento correto nas aplicaes (ver 12.2); e) Gesto de vulnerabilidades tcnicas (ver 12.6); f) Gesto da continuidade do negcio (ver seo 14); g) Gesto de incidentes de segurana da informao e melhorias (ver 13.2).
Embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a seleo de controles, baseado na anlise/avaliao de riscos.
0.7 Fatores crticos de sucesso
0.8 Desenvolvendo suas prprias diretrizes
Poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos do negcio; a) Uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao que seja consistente com a cultura organizacional; b) Comprometimento e apoio visvel de todos os nveis gerenciais; c) Um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da gesto de risco; d) Divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao; e) Distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas; f) Proviso de recursos financeiros para as atividades da gesto de segurana da informao; g) Proviso de conscientizao, treinamento e educao adequados; h) Estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao; i) Implementao de um sistema de medio, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes para a melhoria.
Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Controles adicionais e recomendaes no includos nesta Norma podem ser necessrios.
As medies de segurana da informao esto fora do escopo desta Norma.