ABNT NBR ISO/IEC 27002:2005

Cdigo de prtica para a gesto da segurana da informao

0 Introduo
0.1 O que segurana da informao?










































Informao
um ativo
Essencial Necessita ser
adequadamente
protegida.
Para os
negcios de
uma
organizao.
Segurana da
Informao
a proteo
da
informao
De vrios tipos
de ameaas.
Garantir a
continuidade
do negcio.
Minimizar o
risco ao
negcio.
Maximizar:
Retorno sobre
os
investimentos
Oportunidades
de negcio.
Obtida a partir da implementao
de um conjunto de controles
adequados.

A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novo
esquema de numerao como ISO/IEC 27002.

































0.2 Por que a segurana da informao necessria?




















Controles
Polticas.
Processos. Procedimentos
Estruturas
organizacionais
Funes de
software e
hardware.
Precisam ser:
Estabelecidos.
Implementados.
Monitorados.
Analisados
criticamente.
Melhorados.
Garantir o atendimento:
Objetivos do negcio.
Segurana da
organizao.

Convm que isto seja feito
em conjunto com outros
processos de gesto do
negcio.

Ativos para os negcios
Informao.
Processos de apoio.
Sistemas.
Redes.









































Segurana da informao
Asseguram
Competitividade.
Fluxo de caixa.
Lucratividade.
Atividades
Essenciais:



Definir,
Alcanar.
Manter.
Melhorar.


Atendimento:
Requisitos legais. Imagem
da organizao junto
ao mercado.
Importante para o
negcio (setores pblico
/ privado).
Evitar ou reduzir os
riscos.

A tendncia da computao
distribuda reduz a eficcia da
implementao de um controle
de acesso centralizado.


0.3 Como estabelecer requisitos de segurana da informao



















































Fontes principais de requisitos
(3 fontes) 1 Fonte
Anlise /
avaliao de
riscos para a
organizao.
Considera Identifica
Objetivos e as
estratgias globais
de negcio da
organizao.
Ameaas aos
ativos e as
vulnerabilidades
destes.
Realiza
Estimativa da
probabilidade de
ocorrncia das ameaas
e do impacto potencial
ao negcio.

Fontes principais de requisitos
(3 fontes) 2 Fonte
Legislao
vigente.
Estatutos. Regulamentao Seu ambiente
sociocultural.
Clusulas
contratuais
(atender).
Organizao.
Seus parceiros
comerciais.
Contratados.
Provedores de
servio.















0.4 Analisando/avaliando os riscos de segurana da informao






































Fontes principais de requisitos
(3 fontes) 3 Fonte
Conjunto particular
(do negcio):
Princpios. Objetivos. Requisitos.
Para o
processamento da
informao (apoiar
operaes)













Os gastos com os controles...
Balanceados de
acordo ...
Com os danos
causados aos
negcios...
Gerados pelas
potenciais falhas na
segurana da
informao.
Convm que a anlise/avaliao de riscos seja repetida periodicamente para
contemplar quaisquer mudanas que possam influenciar os resultados desta
anlise/avaliao.



0.5 Seleo de controles
















































Uma vez identificados:
Requisitos de
segurana da
informao
Riscos
Convm que controles apropriados sejam selecionados e implementados para
assegurar que os riscos sejam reduzidos a um nvel aceitvel.
Seleo de controles
Desta Norma
(27002)
Outro conjunto
de controles.
Novos
controles.
Depende das decises da
organizao, baseadas:
Nos critrios para
aceitao de
risco.
Nas opes para
tratamento do risco.
No enfoque geral da gesto de
risco aplicado organizao.
Convm que tambm esteja sujeito a todas as legislaes e regulamentaes
nacionais e internacionais, relevantes.

0.6 Ponto de partida para a segurana da informao


























Sob o ponto de vista legal:
a) Proteo de dados e privacidade de informaes pessoais (ver 15.1.4);
b) Proteo de registros organizacionais (ver 15.1.3);
c) Direitos de propriedade intelectual (ver 15.1.2).
Prticas para a segurana da informao
a) Documento da poltica de segurana da informao (ver 5.1.1);
b) Atribuio de responsabilidades para a segurana da informao (ver 6.1.3);
c) Conscientizao, educao e treinamento em segurana da informao (ver 8.2.2);
d) Processamento correto nas aplicaes (ver 12.2);
e) Gesto de vulnerabilidades tcnicas (ver 12.6);
f) Gesto da continuidade do negcio (ver seo 14);
g) Gesto de incidentes de segurana da informao e melhorias (ver 13.2).

Embora o enfoque acima seja considerado um bom ponto de partida,
ele no substitui a seleo de controles, baseado na anlise/avaliao
de riscos.


0.7 Fatores crticos de sucesso
















0.8 Desenvolvendo suas prprias diretrizes









Poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos do
negcio;
a) Uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e
melhoria da segurana da informao que seja consistente com a cultura
organizacional;
b) Comprometimento e apoio visvel de todos os nveis gerenciais;
c) Um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao
de riscos e da gesto de risco;
d) Divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e
outras partes envolvidas para se alcanar a conscientizao;
e) Distribuio de diretrizes e normas sobre a poltica de segurana da informao para
todos os gerentes, funcionrios e outras partes envolvidas;
f) Proviso de recursos financeiros para as atividades da gesto de segurana da
informao;
g) Proviso de conscientizao, treinamento e educao adequados;
h) Estabelecimento de um eficiente processo de gesto de incidentes de segurana da
informao;
i) Implementao de um sistema de medio, que seja usado para avaliar o desempenho
da gesto da segurana da informao e obteno de sugestes para a melhoria.




Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados.
Controles adicionais e recomendaes no includos nesta Norma podem ser
necessrios.

As medies de segurana da informao esto fora do escopo desta
Norma.