Introdução - Segurança Da Informação

Curso On-Line
Segurana da Informao
Normas de Segurana da Informao Parte 1
Prof. M.Sc. Gleyson Azevedo

professor.gleyson@gmail.com
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
Viso Geral Normas de SI
NBR ISO/IEC 27001 SGSI Requisitos

NBR ISO/IEC 27002 Cdigo de Prtica para a
Gesto da SI
NBR ISO/IEC 27005 Gesto de Riscos de SI
NBR ISO/IEC 15999-1 GCN Cdigo de Prtica
NBR ISO/IEC 15999-2 GCN Requisitos
Prof. Gleyson
Introduo
ISO (International Organization for Standardization)

federao internacional formada por organismos de
normalizao nacionais de diversos pases do mundo.
Trabalho da ISO elaborao de normas (acordos
internacionais) no limitadas a nenhum segmento em
particular.
Cobrem todo campo de normalizao, exceto engenharia
eletrnica e eletrotcnica, de responsabilidade da IEC
(International Eletrotechnical Commission).
Prof. Gleyson
Introduo
O grupo internacional JTC1/SC27, formado pelas

organizaes ISO e IEC, tem como objetivo criar e
gerenciar normas internacionais de segurana da
informao.
Prof. Gleyson
NBR ISO/IEC 27001:2006 Viso

Geral
A ABNT NBR ISO/IEC 27001:2006 a norma usada para

fins de certificao e substitui a norma britnica BS 77992:2002.
Uma organizao que deseja implantar um Sistema de
Gesto de Segurana da Informao (SGSI) deve adotar
essa norma como base.
A rigor, a norma uma especificao (documento que
utilizado para a realizao de auditorias e consequente
certificao) de um SGSI.
Prof. Gleyson
NBR ISO/IEC 27001:2006

Sees (Estrutura)
0. Introduo
1. Objetivo
2. Referncia normativa
3. Termos e definies
4. Sistema de gesto de segurana da informao
4.1 Requisitos gerais
4.2 Estabelecendo e gerenciando o SGSI
4.3 Requisitos de documentao
Prof. Gleyson

Sees (Estrutura)
(Cont.):
5. Responsabilidades da direo
5.1 Comprometimento da direo
5.2 Gesto de recursos
6. Auditorias internas do SGSI
7. Anlise crtica do SGSI pela direo
7.1 Geral
7.2 Entradas para a anlise crtica
7.3 Sadas da Anlise Crtica
Prof. Gleyson

Sees (Estrutura)
(Cont.):
8. Melhoria do SGSI
8.1 Melhoria contnua
8.2 Ao corretiva
8.3 Ao preventiva
Anexo A (normativo) Objetivos de Controles e Controles
Anexo B (informativo) Princpios da OECD
Anexo C (informativo) Correspondncia com a ISO 9001 e a
ISO 14001.
Prof. Gleyson
Exerccios
1. (Tecnologista Pleno Segurana de Sistemas de Informao MCT/2008
CESPE) Com base nas normas ABNT NBR ISO/IEC 27001:2006 e
27002:2005, julgue os itens que se seguem.
1.
[119] Uma organizao que deseje implantar um sistema de gesto de

segurana da informao (SGSI) deve adotar como base a norma ABNT NBR
ISO/IEC 27001:2006.
2.
[120] A seo 5 da norma ISO/IEC 27001 trata de como a informao deve ser
classificada, de acordo com a sua necessidade de segurana e controle de
acesso.
Prof. Gleyson
NBR ISO/IEC 27001

0. Introduo
A norma adota o modelo conhecido como PDCA, aplicado

para estruturar todos os processos do SGSI, como descrito:
Plan (Planejar): estabelecer a poltica de segurana da
informao, os objetivos, processos e os procedimentos

do SGSI.
Do (Fazer): implementar e operar a poltica, os
Check (checar): monitorar, analisar criticamente,
Act (agir): manter e melhorar, por meio de aes
procedimentos, controles e processos do SGSI.
realizar auditorias e medir o desempenho dos processos.
corretivas e preventivas, o SGSI visando ao seu contnuo

aperfeioamento.
Prof. Gleyson
10
NBR ISO/IEC 27001

0. Introduo
Prof. Gleyson
11
NBR ISO/IEC 27001

1. Objetivo
Objetivo Geral
Especifica requisitos para EIOMAMM um SGSI.

O SGSI projetado para assegurar a seleo de
controles de segurana adequados para proteger os
ativos de informao e proporcionar confiana s partes
interessadas.
Prof. Gleyson
12
NBR ISO/IEC 27001

1. Objetivo
Aplicao
Os requisitos so genricos se adequam a qualquer

organizao.
A excluso de quaisquer dos requisitos especificados
nas sees 4 a 8 no aceitvel quando uma
organizao reivindica conformidade com a norma.
A excluso de controles considerada necessria para
satisfazer os critrios de aceitao de risco precisa ser
justificada e as evidncias precisam ser providas para
a associao dos riscos aceitos s pessoas responsveis.
Prof. Gleyson
13
Exerccios
2. (Tecnologista Jr MCT/2008 CESPE) Acerca das normas nacionais e
internacionais relativas segurana da informao, bem como da gesto
de riscos de sistemas de informao, julgue os itens seguintes.
1.
[119] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que

aplicado para estruturar todos os processos dos sistemas de gesto de
segurana da informao information security management system (ISMS).
2.
[120] Dependendo de seu tamanho ou natureza, uma organizao pode

considerar um ou mais requisitos da norma ISO 27001 como no-aplicveis e,
ainda assim, continuar em conformidade com essa norma internacional.
Prof. Gleyson
14
NBR ISO/IEC 27001

2. Referncia normativa
A ABNT ISO/IEC 17799:2005 (27002)

indispensvel para a aplicao da ABNT ISO/IEC
27001:2006.
Prof. Gleyson
15
NBR ISO/IEC 27001

3. Termos e Definies
Sistema de Gesto da Segurana da Informao

(SGSI) a parte do sistema de gesto global, baseado na
abordagem de riscos do negcio, para EIOMAMM a SI.
Inclui: estrutura organizacional, polticas, planejamento de
atividades, responsabilidades, prticas, procedimentos,
processos e recursos.
Prof. Gleyson
16
NBR ISO/IEC 27001

Evento de segurana da informao - ocorrncia

identificada de um sistema, servio ou rede que indica uma
possvel violao da poltica de segurana da informao ou
falha de controles, ou uma situao previamente
desconhecida, que possa ser relevante para a segurana da
informao.
Incidente de segurana da informao - um simples
ou uma srie de eventos de segurana da informao
indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e
ameaar a segurana da informao.
Prof. Gleyson
17
NBR ISO/IEC 27001

Declarao de aplicabilidade - declarao documentada

que descreve os objetivos de controle e controles que so
pertinentes e aplicveis ao SGSI da organizao.
Os objetivos de controle e controles esto baseados nos
resultados e concluses do processo de avaliao de risco e
tratamento de risco, requisitos legais ou regulatrios,
obrigaes contratuais e os requisitos de negcio da
organizao para a segurana da informao.
Prof. Gleyson
18
NBR ISO/IEC 27001

4. SGSI Requisitos Gerais
A organizao deve EIOMAMM um SGSI

documentado dentro do contexto das atividades de
negcio globais da organizao e os riscos que
elas enfrentam.
Prof. Gleyson
19
NBR ISO/IEC 27001

4. SGSI Estabelecer o SGSI (Plan)
A organizao deve:
definir o escopo e os limites do SGSI;
definir uma poltica de segurana da informao;
definir a sistemtica de anlise/avaliao de riscos de

segurana da informao;
identificar os riscos;
analisar e avaliar os riscos;
identificar e avaliar as opes para o tratamento de

riscos;
Prof. Gleyson
20
NBR ISO/IEC 27001

4. SGSI Estabelecer o SGSI (Plan)
(Cont.):
selecionar objetivos de controle e controles para o
tratamento de riscos;
obter aprovao da direo dos riscos residuais
propostos;
obter autorizao da direo para implementar e operar
o SGSI;
preparar uma declarao de aplicabilidade.
Prof. Gleyson
21
Exerccios
3. (Analista Administrativo Tecnologia da Informao Anlise de Negcios
ANATEL CESPE 2009) A figura a seguir, obtida na norma ABNT NBR
ISO/IEC 27001:2006, apresenta um modelo de gesto da segurana da
Informao. Julgue os itens subsequentes acerca das informaes
apresentadas e dos conceitos de segurana da informao.
1.
[83] Considere as diferentes fases do ciclo de gesto no modelo da figura

plan, do, check e act. A definio de critrios para a avaliao e para a
aceitao dos riscos de segurana da informao que ocorrem no escopo para
o qual o modelo da figura est sendo estabelecido, implementado, operado,
monitorado, analisado criticamente, mantido e melhorado ocorre,
primariamente, durante a fase do.
2.
[85] A classificao da informao um objetivo de controle explicitamente

enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois
controles, sendo um deles relacionado a recomendaes para classificao e o
outro, ao uso de rtulos.
Prof. Gleyson
22
Exerccios
Prof. Gleyson
23
NBR ISO/IEC 27001 - 4. SGSI

Implementar e Operar o SGSI (Do)
A organizao deve:
formular um plano de tratamento de risco;
implementar o plano de tratamento de risco;
implementar os controles selecionados;
definir como medir a eficcia dos controles;
implementar programas de conscientizao e

treinamento;
gerenciar as operaes do SGSI;
Prof. Gleyson
24

Implementar e Operar o SGSI (Do)
(Cont.):
gerenciar os recursos para o SGSI;
implementar procedimentos e outros controles capazes
de permitir a rpida deteco e resposta a incidentes de
segurana.
Prof. Gleyson
25

Monitorar e Analisar Criticamente o SGSI
(Check)
A organizao deve:
executar procedimentos de monitorao e anlise crtica;
realizar anlises crticas regulares da eficcia do SGSI;
medir a eficcia dos controles;
analisar criticamente as anlises/avaliaes de riscos a

intervalos planejados e os riscos residuais;
conduzir auditorias internas no SGSI a intervalos
planejados;
Prof. Gleyson
26

Monitorar e Analisar Criticamente o SGSI
(Check)
(Cont.):
realizar uma anlise crtica do SGSI pela direo;
atualizar os planos de segurana da informao;
registrar as aes e eventos que poderiam ter um
impacto na efetividade ou desempenho do SGSI.
Prof. Gleyson
27
NBR ISO/IEC 27001 4. SGSI

Manter e Melhorar o SGSI (Act)
A organizao deve regularmente:
implementar as melhorias identificadas no SGSI;
executar as aes preventivas e corretivas apropriadas;
comunicar as aes e melhorias a todas as partes

interessadas;
assegurar-se de que as melhorias alcancem os objetivos
propostos.
Prof. Gleyson
28

Requisitos de Documentao
A documentao do SGSI deve incluir:
declaraes documentadas da poltica e objetivos do

SGSI;
o escopo do SGSI;
procedimentos e controles que apoiam o SGSI;
uma descrio da metodologia de anlise/avaliao de

riscos;
o relatrio de anlise/avaliao de riscos;
o plano de tratamento de riscos;

Prof. Gleyson
29

Requisitos de Documentao
(Cont.):
procedimentos documentados requeridos pela

organizao;
registros requeridos pela norma e
a Declarao de Aplicabilidade.
Registros devem ser estabelecidos e mantidos para prover

evidncia de conformidade aos requisitos e efetividade da
operao do SGSI.
Exemplos de registros: livros de visitantes, relatrios de
auditoria e formulrios de autorizao de acesso completo.
Prof. Gleyson
30
NBR ISO/IEC 27001

5. Responsabilidades da Direo
A direo deve fornecer evidncias do seu

comprometimento com o EIOMAMM do SGSI.
A responsabilidade da direo complementada por uma
adequada gesto de recursos, que se evidencia por:
uma apropriada proviso de recursos financeiros;

assegurar o devido treinamento, conscientizao e
capacitao para todos os que possuem
responsabilidades atribudas e definidas no SGSI.
A organizao tambm deve assegurar que todo o pessoal

pertinente esteja consciente da relevncia e importncia
das suas atividades para o SGSI.
Prof. Gleyson
31
NBR ISO/IEC 27001

6. Auditorias Internas do SGSI
A organizao deve conduzir auditorias internas no SGSI a

intervalos planejados.
A gerncia responsvel pela rea a ser auditada deve
assegurar que as aes sejam executadas, sem demora
indevida, para eliminar as no-conformidades detectadas e
suas causas.
Atividades de acompanhamento devem incluir a verificao
das aes tomadas e a comunicao de resultados de
verificao.
Prof. Gleyson
32
NBR ISO/IEC 27001 7. Anlise

Crtica do SGSI pela Direo
Entradas para a anlise crtica:
resultados das auditorias do SGSI e anlises crticas;
realimentaes das partes interessadas;
tcnicas, produtos ou procedimentos que poderiam ser

usados na organizao para melhorar o desempenho e a
eficcia do SGSI;
situao das aes preventivas e corretivas;
vulnerabilidades ou ameaas no contempladas
adequadamente nas anlises/avaliaes de risco
anteriores;
Prof. Gleyson
33

(Cont.):
resultados das medies de eficcia;

acompanhamento das aes oriundas de anlises
crticas anteriores;
qualquer mudana que poderia afetar o SGSI;
recomendaes para melhoria.
Prof. Gleyson
34

As sadas devem incluir quaisquer decises e aes

relacionadas a:
melhoria da eficcia do SGSI;

atualizao da anlise/avaliao de riscos e do plano de
tratamento de riscos;
modificao de procedimentos e controles que afetem a
segurana da informao,
necessidade de recursos;
melhoria de como a eficcia dos controles est sendo
medida.
Prof. Gleyson
35
NBR ISO/IEC 27001 8. Melhoria

do SGSI Ao Corretiva
A organizao deve executar aes para eliminar as causas

de no-conformidades com os requisitos do SGSI, de forma
a evitar sua repetio.
O procedimento documentado para ao corretiva deve
definir requisitos para:
identificar no-conformidades;
determinar as causas de no-conformidades;
avaliar a necessidade por aes para assegurar que as

no-conformidades no ocorram novamente;
Prof. Gleyson
36

do SGSI Ao Corretiva
(Cont.):
determinar e implementar as aes corretivas

necessrias;
registrar os resultados das aes executadas;
analisar criticamente as aes corretivas executadas.
Prof. Gleyson
37

do SGSI Ao Preventiva
A organizao deve determinar aes para eliminar as

causas de no-conformidades potenciais com os requisitos
do SGSI, de forma a evitar a sua ocorrncia.
O procedimento documentado para ao preventiva deve
definir requisitos para:
identificar no-conformidades potenciais e suas causas;

avaliar a necessidade de aes para evitar a ocorrncia
de no-conformidades;
determinar e implementar as aes preventivas
necessrias;
Prof. Gleyson
38

do SGSI Ao Preventiva
(Cont.):
registrar os resultados de aes executadas;
analisar criticamente as aes preventivas executadas.
A norma define que aes para prevenir no-conformidades

frequentemente tm melhor custo-benefcio que as aes
corretivas.
Prof. Gleyson
39
Exerccios
4. (Analista Redes SERPRO/2008 CESPE) Atualmente, a informao um
importante ativo para praticamente todo o tipo de organizao. A
segurana desse ativo faz-se necessria, seja por questo de
conformidade com leis e contratos, seja para assegurar a continuidade do
negcio. Acerca da segurana da informao, bem como das normas e
polticas a ela aplicveis, julgue os itens a seguir.
1.
[86] A declarao de aplicabilidade um documento que deve detalhar os

objetivos de controle e os controles a serem implementados para a segurana
da informao. Os demais controles e objetivos de controle, no inclusos na
declarao de aplicabilidade, devem fazer parte do documento de anlise de
GAP.
2.
[87] A definio de critrios para aceitao de riscos uma das

responsabilidades da alta administrao, segundo a norma NBR ISO/IEC
27001.
Prof. Gleyson
40
Exerccios
3.
[88] O estabelecimento da poltica do sistema de gesto de segurana da

informao (SGSI) de responsabilidade da equipe de segurana da
informao.
4.
[89] Para assegurar que os controles, objetivos de controle e processos sejam

executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001
recomenda a realizao de auditorias externas em intervalos regulares de, no
mximo, seis meses.
5.
[90] A identificao de no-conformidades potenciais e suas causas

caracterizada como uma ao preventiva, segundo a norma NBR ISO/IEC
27001.
6.
[91] Entre as atividades contempladas na fase agir (act) est a necessidade de

identificar no-conformidades potenciais e suas causas, objetivando alcanar a
melhoria contnua do sistema de gesto de segurana da informao.
7.
[92] A norma NBR ISO/IEC 27001 recomenda a adoo de abordagem

qualitativa para a realizao da anlise de risco.
Prof. Gleyson
41
Gabarito das Questes

1. 1C-2E
2. 1C-2E
3. 1E-2C
4. 1E-2C-3C-4E-5C
Prof. Gleyson
42

Introdução - Segurança Da Informação

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Introdução - Segurança Da Informação

Enviado por

Direitos autorais:

Formatos disponíveis

Curso On-Line

Normas de Segurana da Informao Parte 1

Prof. M.Sc. Gleyson Azevedo

Viso Geral Normas de SI

NBR ISO/IEC 27001 SGSI Requisitos

NBR ISO/IEC 27005 Gesto de Riscos de SI

NBR ISO/IEC 15999-1 GCN Cdigo de Prtica

NBR ISO/IEC 15999-2 GCN Requisitos

ISO (International Organization for Standardization)

O grupo internacional JTC1/SC27, formado pelas

NBR ISO/IEC 27001:2006 Viso

A ABNT NBR ISO/IEC 27001:2006 a norma usada para

NBR ISO/IEC 27001:2006

NBR ISO/IEC 27001:2006

NBR ISO/IEC 27001:2006

[119] Uma organizao que deseje implantar um sistema de gesto de

NBR ISO/IEC 27001

A norma adota o modelo conhecido como PDCA, aplicado

Plan (Planejar): estabelecer a poltica de segurana da

informao, os objetivos, processos e os procedimentos

Do (Fazer): implementar e operar a poltica, os

Check (checar): monitorar, analisar criticamente,

Act (agir): manter e melhorar, por meio de aes

procedimentos, controles e processos do SGSI.

realizar auditorias e medir o desempenho dos processos.

corretivas e preventivas, o SGSI visando ao seu contnuo

NBR ISO/IEC 27001

NBR ISO/IEC 27001

Especifica requisitos para EIOMAMM um SGSI.

NBR ISO/IEC 27001

Os requisitos so genricos se adequam a qualquer

[119] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que

[120] Dependendo de seu tamanho ou natureza, uma organizao pode

NBR ISO/IEC 27001

A ABNT ISO/IEC 17799:2005 (27002)

NBR ISO/IEC 27001

Sistema de Gesto da Segurana da Informao

NBR ISO/IEC 27001

Evento de segurana da informao - ocorrncia

NBR ISO/IEC 27001

Declarao de aplicabilidade - declarao documentada

NBR ISO/IEC 27001

A organizao deve EIOMAMM um SGSI

NBR ISO/IEC 27001

definir o escopo e os limites do SGSI;

definir uma poltica de segurana da informao;

definir a sistemtica de anlise/avaliao de riscos de

analisar e avaliar os riscos;

identificar e avaliar as opes para o tratamento de

NBR ISO/IEC 27001

[83] Considere as diferentes fases do ciclo de gesto no modelo da figura

[85] A classificao da informao um objetivo de controle explicitamente

NBR ISO/IEC 27001 - 4. SGSI

formular um plano de tratamento de risco;

implementar o plano de tratamento de risco;

implementar os controles selecionados;

definir como medir a eficcia dos controles;

implementar programas de conscientizao e

NBR ISO/IEC 27001 - 4. SGSI

NBR ISO/IEC 27001 - 4. SGSI

executar procedimentos de monitorao e anlise crtica;

realizar anlises crticas regulares da eficcia do SGSI;

medir a eficcia dos controles;