Escolar Documentos
Profissional Documentos
Cultura Documentos
da Informao
NORMAS NBR ISO/IEC 27001, 27002 e 27005
@thiagofagury
www.fagury.com.br
http://groups.yahoo.com/group/timasters
As Normas
NBR ISO/IEC 27001 - Requisitos para
implantar um SGSI
Estrutura
0. Introduo
1. Objetivo
2. Referncia normativa
3. Termos e definies
5. Responsabilidades da direo
(Comprometimento da direo / Gesto de recursos)
8. Melhoria do SGSI
Estrutura
Anexos:
Anexo A - normativo:
Objetivos de Controles e Controles (27002 - 5 a 15)
Anexo B - informativo:
Princpios da OECD*
Anexo C - informativo:
Correspondncia c/ ISO 9001 e ISO 14001
*Organizao para cooperao e desenvolvimento econmico
sexta-feira, 5 de novembro de 2010
0. Introduo
0. Introduo
0. Introduo
Estabelecer
Implementar e
Operar
Manter e
Melhorar
Monitorar e
Anal. Criticamente
0. Introduo
0. Introduo
Conformidade:
1. Objetivo
1.1 Geral:
- A norma cobre todos os tipos de organizaes;
- Especifica os requisitos para EIOMAMM um
SGSI documentado dentro do contexto dos
riscos de negcio globais da organizao;
- Projetado para assegurar a seleo de controles
de segurana adequados e proporcionados para
proteger os ativos de informao e propiciar
confiana s partes interessadas.
sexta-feira, 5 de novembro de 2010
1. Objetivo
1.2 Aplicao:
2. Ref. Normativa
O documento a seguir referenciado
indispensvel para a aplicao desta Norma:
ABNT NBR ISO/IEC 17799:2005, Tecnologia da
informao Tcnicas de segurana Cdigo de
prtica para a gesto da segurana da informao.
*Ou seja, a 27002
sexta-feira, 5 de novembro de 2010
3. Termos e Definies
3.1 ativo
Qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]
3.2 disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por
uma entidade autorizada
[ISO/IEC 13335-1:2004]
3.3 confidencialidade
Propriedade de que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no
autorizados
[ISO/IEC 13335-1:2004]
sexta-feira, 5 de novembro de 2010
3. Termos e Definies
3.4 segurana da informao
3. Termos e Definies
3.6 incidente de segurana da informao
Um simples ou uma srie de eventos de segurana da informao
indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e
ameaar a segurana da informao
[ISO/IEC TR 18044:2004]
NOTA
O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento,
responsabilidades, prticas, procedimentos, processos e recursos.
sexta-feira, 5 de novembro de 2010
3. Termos e Definies
3.8 integridade
Propriedade de salvaguarda da exatido e completeza de
ativos
[ISO/IEC 13335-1:2004]
3. Termos e Definies
3.11 anlise de riscos
Uso sistemtico de informaes para identificar fontes e
estimar o risco
[ABNT ISO/IEC Guia 73:2005]
3. Termos e Definies
3.14 gesto de riscos
Atividades coordenadas para direcionar e controlar uma
organizao no que se refere a riscos
NOTA
A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a
aceitao de riscos e a comunicao de riscos.
[ABNT ISO/IEC Guia 73:2005]
3. Termos e Definies
3.16 declarao de aplicabilidade
Declarao documentada que descreve os objetivos de controle
e controles que so pertinentes e aplicveis ao SGSI da
organizao
NOTA
Os objetivos de controle e controles esto baseados nos resultados e concluses dos
processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou
regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a segurana
da informao.
4. SGSI
Requisitos gerais
A organizao deve estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do
contexto das atividades de negcio globais da
organizao e os riscos que ela enfrenta.
4. SGSI
Estabelecer o SGSI
A organizao deve:
Definir o escopo e os limites do SGSI nos
termos das caractersticas do negcio, a
organizao, sua localizao, ativos e tecnologia,
incluindo detalhes e justificativas para quaisquer
excluses do escopo
sexta-feira, 5 de novembro de 2010
4. SGSI
Estabelecer o SGSI
A organizao deve:
- Definir a abordagem de anlise/avaliao de
riscos da organizao (metodologia);
- Identificar os riscos (ativos/proprietrios);
- Analisar/avaliar riscos (probabilidades e
impacto);
- Identificar e avaliar as opes de tratamento;
sexta-feira, 5 de novembro de 2010
4. SGSI
Estabelecer o SGSI
- Selecionar os objetivos de controle para tratamento de riscos
(anexo A);
- Obter aprovao da direo dos riscos residuais propostos;
- Obter autorizao da direo para implementar e operar o
SGSI;
- Preparar uma Declarao de Aplicabilidade (controles
aplicveis e justificativas de excluso).
sexta-feira, 5 de novembro de 2010
4. SGSI
4. SGSI
4. SGSI
4. SGSI
f)
Realizar uma anlise crtica do SGSI pela direo em bases
regulares para assegurar que o escopo permanece adequado e que
so identificadas melhorias nos processos do SGSI
sexta-feira, 5 de novembro de 2010
4. SGSI
4. SGSI
Requisitos de Documentao
- A documentao deve incluir registros de decises da direo,
assegurar que as aes sejam rastreveis s polticas e decises da
direo, e assegurar que os resultados registrados sejam
reproduzveis;
- Deve incluir declaraes documentadas da poltica, escopo,
procedimentos e controles que apoiam o SGSI, metodologia e
relatrio da anlise/aval. de riscos, procedimentos documentados
para EIOMAMM o SGSI e declarao de aplicabilidade;
- Controle de documentos;
- Controle de registros.
sexta-feira, 5 de novembro de 2010
5. Responsabilidade da Direo
5.1 Comprometimento da Direo:
A Direo deve fornecer evidncia do seu comprometimento
com o EIOMAMM do SGSI mediante:
a)
o estabelecimento da poltica do SGSI;
b) a garantia de que so estabelecidos os planos e objetivos do
SGSI;
c)
o estabelecimento de papis e responsabilidades pela
segurana de informao;
d) a comunicao organizao da importncia em atender aos
objetivos de segurana da informao e conformidade;
5. Responsabilidade da Direo
5.1 Comprometimento da Direo:
e) a proviso de recursos suficientes para EIOMAMM o SGSI;
f)
a definio de critrios para aceitao de riscos e dos nveis de
riscos aceitveis;
g) a garantia de que as auditorias internas do SGSI sejam
realizadas;
h) a conduo de anlises crticas do SGSI pela direo.
5. Responsabilidade da Direo
5.2 Gesto dos Recursos:
5.2.1 - Proviso de recursos;
5.2.2 - Treinamento, conscientizao e
competncia.
6. Auditorias Internas
A organizao deve conduzir auditorias internas
do SGSI a intervalos planejados para determinar
se os objetivos de controle, controles, processos
e procedimentos do seu SGSI so executados
como esperado, se so eficazes e atendem aos
requisitos de conformidade e de SI.
8. Melhoria do SGSI
Melhoria contnua
A organizao deve continuamente melhorar a eficcia do SGSI
por meio do uso da poltica de segurana da informao,
objetivos de segurana da informao, resultados de auditorias,
anlises de eventos monitorados, aes corretivas e preventivas
e anlise crtica pela direo.
Aes corretivas e preventivas
Identificar no-conformidades; Determinar as causas de noconformidades; Avaliar a necessidade de aes para assegurar
que no haja recorrncia; Determinar e implementar as aes
necessrias; Registrar os resultados das aes executadas;
Analisar Criticamente as Aes.
sexta-feira, 5 de novembro de 2010
Exerccios e Observaes
- Consideraes sobre o Anexo A da norma;
- Dvidas;
- Resoluo de questes;
- O que vimos aqui?
NBR ISO/IEC
27002
O nico lugar onde o sucesso vem antes do trabalho no dicionrio
(Einstein)
Estrutura
0. INTRODUO
1. OBJETIVO
2. TERMOS E DEFINIES
3. ESTRUTURA DA NORMA
0. Introduo
0. Introduo
0. Introduo
0. Introduo
Seleo de controles:
- Os controles podem ser selecionados a partir desta Norma
ou de um outro conjunto de controles ou novos controles
podem ser desenvolvidos para atender s necessidades
especficas, conforme apropriado;
- A seleo de controles de segurana da informao depende
das decises da organizao, baseadas nos critrios para
aceitao de risco, nas opes para tratamento do risco e no
enfoque geral da gesto de risco aplicado organizao;
- Convm ser observados requisitos de conformidade.
sexta-feira, 5 de novembro de 2010
0. Introduo
0. Introduo
0. Introduo
0. Introduo
0. Introduo
h)
proviso de conscientizao, treinamento e educao
adequados;
i)
estabelecimento de um eficiente processo de gesto de
incidentes de segurana da informao;
j)
implementao de um sistema de medio, que seja usado
para avaliar o desempenho da gesto da segurana da
informao e obteno de sugestes para a melhoria.
1. Objetivo
2. Termos e Definies
2.1 ativo
qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]
2.2 controle
forma de gerenciar o risco, incluindo polticas, procedimentos,
diretrizes, prticas ou estruturas organizacionais, que podem
ser de natureza administrativa, tcnica, de gesto ou legal
NOTA
Controle tambm usado como um sinmino para proteo ou contramedida.
2.3 diretriz
descrio que orienta o que deve ser feito e como, para se
alcanarem os objetivos estabelecidos nas polticas
[ISO/IEC 13335-1:2004]
sexta-feira, 5 de novembro de 2010
2. Termos e Definies
2.4 recursos de processamento da informao
qualquer sistema de processamento da informao, servio ou
infra-estrutura, ou as instalaes fsicas que os abriguem
2.5 segurana da informao
preservao da confidencialidade, da integridade e da
disponibilidade da informao; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, no
repdio e confiabilidade, podem tambm estar envolvidas
2. Termos e Definies
2.6 evento de segurana da informao
ocorrncia identificada de um sistema, servio ou rede, que indica uma
possvel violao da poltica de segurana da informao ou falha de
controles, ou uma situao previamente desconhecida, que possa ser
relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
2.8 poltica
intenes e diretrizes globais formalmente expressas pela direo
sexta-feira, 5 de novembro de 2010
2. Termos e Definies
2.9 risco
combinao da probabilidade de um evento e de suas conseqncias
[ABNT ISO/IEC Guia 73:2005]
2. Termos e Definies
2.13 gesto de riscos
atividades coordenadas para direcionar e controlar uma organizao
no que se refere a riscos
NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o
tratamento de riscos, a aceitao de riscos e a comunicao de riscos.
[ABNT ISO/IEC Guia 73:2005]
2. Termos e Definies
2.16 ameaa
causa potencial de um incidente indesejado, que pode resultar em
dano para um sistema ou organizao
[ISO/IEC 13335-1:2004]
2.17 vulnerabildade
fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaas
3. Estrutura da Norma
- 11 sees de controles de segurana , totalizando 39
categorias principais de segurana e seo preliminar que
trata a anlise/avaliao e o tratamento de riscos.
- A norma apresenta 39 objetivos de controle (categorias) e
133 controles de segurana.
- A ordem das sees no segue grau de importncia , ficando
a cargo de cada organizao identificar as sees aplicveis e a
relevncia de cada uma.
- Cada categoria principal de segurana da informao contm
um objetivo de controle que define o que deve ser alcanado;
e um ou mais controles que podem ser aplicados para se
alcanar o objetivo do controle.
sexta-feira, 5 de novembro de 2010
3. Estrutura da Norma
Estrutura das Sees
- Objetivo do controle: o que deve ser alcanado;
- Controle: controle a ser implementado para atender o
objetivo do controle;
- Diretrizes: informaes mais detalhadas para apoiar a
implementao do controle;
- Informaes adicionais: informaes que podem ser
consideradas na implementao do controle, tais como
aspectos legais e referncias a outras normas.
5. Poltica de SI
5. Poltica de SI
- Apenas uma categoria:
6. Organizando a SI
Objetivo: Gerenciar a segurana da informao dentro da
organizao.
- Convm que uma estrutura de gerenciamento seja estabelecida
para iniciar e controlar a implementao da segurana da
informao dentro da organizao.
- Convm que a direo aprove a poltica de segurana da
informao, atribua as funes da segurana, coordene e analise
criticamente a implementao da segurana da informao por
toda a organizao.
- Categorias:
* Infraestrutura da segurana da informao e Partes externas
sexta-feira, 5 de novembro de 2010
6. Organizando a SI
- Controles:
* Comprometimento da direo com a SI;
* Coordenao da SI;
* Atribuio de responsabilidades para SI;
* Processo de autorizao p/ os recursos de processamento da inf.;
* Acordos de confidencialidade;
* Contato com autoridades;
* Contato com grupos especiais;
* Anlise Crtica Independente de SI;
* Identificao de riscos relacionados com partes externas;
* Identificao da SI ao tratar com clientes;
* Identificao da SI nos acordos com terceiros.
sexta-feira, 5 de novembro de 2010
7. Gesto de Ativos
- Objetivo: Alcanar e manter a proteo adequada dos ativos da
organizao.
- Convm que todos os ativos sejam inventariados e tenham um
proprietrio responsvel.
- Convm que os proprietrios dos ativos sejam identificados e a
eles seja atribuda a responsabilidade pela manuteno apropriada
dos controles.
Categorias:
* Responsabilidade pelos ativos;
* Classificao da informao.
7. Gesto de Ativos
- Controles:
* Inventrio dos ativos;
* Propriedade dos ativos;
* Uso aceitvel dos ativos;
* Recomendaes para classificao da informao;
* Rtulos e tratamento da informao.
8. Segurana em RH
- Objetivo: Assegurar que os funcionrios, fornecedores e terceiros
entendam suas responsabilidades e estejam de acordo com os seus
papis, e reduzir o risco de roubo, fraude ou mau uso de recursos.
- Convm que as responsabilidades pela segurana da informao
sejam atribudas antes da contratao, de forma adequada, nas
descries de cargos e nos termos e condies de contratao.
- Convm que todos os candidatos ao emprego, fornecedores e
terceiros sejam adequadamente analisados, especialmente em
cargos com acesso a informaes sensveis.
- Convm que todos os funcionrios, fornecedores e terceiros,
usurios dos recursos de processamento da informao, assinem
acordos sobre seus papis e responsabilidades pela segurana da
informao.
sexta-feira, 5 de novembro de 2010
8. Segurana em RH
- Categorias:
* Antes da contratao;
* Durante a contratao;
* Encerramento ou mudana da contratao.
- Controles:
* Papis e Responsabilidades * Seleo;
* Termos e condies de contratao;
* Responsabilidades da direo;
* Conscientizao, educao e treinamento em SI;
* Processo disciplinar;
* Encerramento de atividades;
* Devoluo de ativos;
* Retirada de direitos de acesso.
sexta-feira, 5 de novembro de 2010
15. Conformidade
Objetivos: assegurar conformidade quanto ao aparato
normativo vigente, seja ele tcnico, legal (civil, penal, criminal,
regulamentao de setor) ou interno ao negcio.
Contempla 3 categorias:
* Conformidade com requisitos legais;
* Conformidade com normas e polticas de segurana da
informao e conformidade tcnica;
* Consideraes quanto auditoria de sistemas de
informao.
15. Conformidade
Controles:
* Identificao da legislao vigente;
* Direitos de propriedade intelectual;
* Proteo de registros organizacionais;
* Proteo de dados e privacidade de inf. pessoais;
* Preveno de mau uso de recursos de proc. da inf.;
* Regulamentao de controles e criptografia;
* Conformidade com as polticas e normas de SI;
* Verificao da conformidade tcnica;
* Controles de auditoria de sistemas de informao;
* Proteo de ferramentas de auditoria de sistemas de inf.
sexta-feira, 5 de novembro de 2010
Exerccios e Observaes
- Dvidas;
- Resoluo de questes;
- O que vimos aqui?
NBR ISO/IEC
27005
Mais do que de mquinas, precisamos de humanidade. Mais do que de inteligncia, precisamos
de afeio e doura. Sem essas virtudes, a vida ser de violncia e tudo ser perdido.
(Charles Chaplin - O ltimo discurso, do filme O Grande Ditador)
1. Introduo
2. Escopo
3. Referncias Normativas
4. Termos e Definies
5. Organizao da Norma
6. Contextualizao
7. Viso Geral do Processo de Gesto de Riscos de Segurana
da Informao
8. Definio do Contexto
9. Anlise/Avaliao de Riscos de SI
10. Anlise/Avaliao de Riscos de SI
11. Tratamento do Risco de SI
12. Aceitao do Risco de SI
13. Comunicao do Risco de SI
14. Monitoramento e Anlise Crtica de Riscos de SI
Estrutura
Overview
Overview
Overview
Overview
Overview
Termos e definies:
Impacto mudana adversa no nvel obtido dos objetivos de
negcios
Riscos de segurana da informao a possibilidade de uma
ameaa explorar vulnerabilidades de um ativo ou de um
conjunto de ativos, prejudicando a organizao (medido em
funo da probabilidade de um evento e de sua consequncia).
Ao de evitar o risco deciso de no se envolver ou agir de
forma a se retirar de uma situao de risco
Comunicao do risco troca ou compartilhamento de
informao sobre risco entre o tomador de deciso e outras
partes envolvidas
sexta-feira, 5 de novembro de 2010
Overview
Termos e definies:
Estimativa de riscos processo utilizado para atribuir valores
probabilidade e consequncias de um risco
Identificao de riscos processo para localizar, listar e
caracterizar elementos do risco
Reduo do risco aes tomadas para reduzir a probabilidade,
as consequncias negativas ou ambas associadas a um risco
Reteno do risco aceitao do nus da perda ou do benefcio
do ganho associado a um determinado risco
Transferncia do risco compartilhamento com uma outra
entidade do nus da perda associado a um risco
Overview
Aplicabilidade:
O processo de GRSI pode ser aplicado organizao
como um todo, a uma rea especfica da organizao (por
exemplo: um departamento, uma localidade, um servio),
a um sistema de informaes, a controles j existentes,
planejados ou apenas a aspectos particulares de um
controle (exemplo: Plano de Continuidade de Negcios)
Overview
Exerccios e Observaes
- Dvidas;
- Resoluo de questes;
- O que vimos aqui?
Obrigado!
@thiagofagury
sexta-feira, 5 de novembro de 2010