ISO/IEC 17799 - 27001

Clauzio Cleber Hugo Azevedo Roger

ISO/IEC 17799 - 27001

ISO: Organizao de Padronizao

Internacional:

ISO 9001 e 14001;

IEC: Comisso Eletrotcnica Internacional:

IEC 60950-1 (ITE: Safety);

ISO/IEC: Cooperao entre ISO e IEC;

Para no evitar o OVERLAP de padres;

Estrutura dos Orgos de Padronizaes

R e c o n h e c i d o

Internacional

ISO / IEC

Nacional

ABNT

Brasil

ANSI

USA

China

SAC

Ingraterra

BSI

ISO/IEC 17799 - 27001 Tudo comeou ...

BS 7799; BSI (British Standards Institute); Organizao Inglesa de Padronizao; BS 7799-1, BS 7799-2 e BS 7799-3;

BS 7799-1

1995; Cdigos de Boas Prticas para o Gerenciamento da Segurana da Informao;

BS 7799-2

1999; Sistema de Gerenciamento da Segurana da Informao;

BS 7799-3

2005; Anlise e Gerenciamento de Riscos;

ISO/IEC

Outros pases adotaram a BS 7799; ISO/IEC; Em 2000;

ISO/IEC 17799 que foi baseada na BS

7799 parte 1; Revisada em 2005;

As sries 27000

ISO/IEC 27000, 27001, 27002, 27003, 27004, 27005, 27006, 27007, ... , 27799; Onde algumas foram baseadas nas BS 7799 e na ISO 17799;

Tabela Evolutiva
BSI
BS7799-2 BS7799-1

ISO/IEC

ISO/IEC

Objetivo

Lanamento
Em preparao 2005 Previso p/ 2007 Em preparao Em preparao Previso p/ 2007 2007 Em preparao ... Em preparao

ISO 17799

BS7799-3

...

...

ISO 27000 Vocabulrio ISO 27001 SGSI ISO 27002 Cd. Boas Prticas ISO 27003 Nova SGSI ISO 27004 Medies ISO 27005 Gerenciar Riscos ISO 27006 Guia p/ Certificao ISO 27007 Guia de Auditoria ... ... ISO/DIS27799 Cuidados Indstrias

Escopo do Trabalho

ISO/IEC 17799;

ISO/IEC 27001;

ISO/IEC 17799
Cdigo de Prtica para a Gesto da Segurana da Informao

Definies (17)

ativo, controle, diretriz, recursos de processamento da informao, segurana da informao, evento de segurana da informao, incidente de segurana da informao, poltica, risco, anlise de riscos, anlise/avaliao de riscos, avaliao de riscos, gesto de riscos, tratamento do risco, terceira parte, ameaa, vulnerabilidade

ISO/IEC 17799
Cdigo de Prtica para a Gesto da Segurana da Informao

Algumas definies (17)

ativo

qualquer coisa que tenha valor para a organizao forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou contramedida. preservao da confidencialidade, da integridade e da disponibilidade da informao intenes e diretrizes globais formalmente expressas pela

controle

segurana da informao

poltica

ISO/IEC 17799
Objetivo

Estabelecer cdigos de boas prticas para a gesto de segurana da informao Dar instrumentos para a implantao de segurana da informao de acordo com a caractersticas de uma empresa

ISO/IEC 17799
Sees
a) Poltica de Segurana da Informao (1); b) Organizao a Segurana da Informao (2); c) Gesto de Ativos (2); d) Segurana em Recursos Humanos (3); e) Segurana Fsica e do Ambientes (2); f) Gesto das Operaes de Comunicao (10); g) Controle de Acesso (7); h) Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao (6); i) Gesto de Incidentes de Segurana da Informao (2); j) Gesto da Continuidade do Negcio (1); k) Conformidade (3).

ISO/IEC 17799
Principais Categorias Cada categoria principal de Segurana da Informao contm: a)um objetivo de controle que define o que deve ser alcanado; e b)um ou mais controles que podem ser aplicados para se alcana o objetivo do controle

ISO/IEC 17799
Estrutura dos Controles

Controle - definio do controle Diretrizes para a implementao - informaes mais detalhadas Informaes adicionais - consideraes legais e referncias a outras normas

ISO/IEC 17799
Poltica de Segurana

A poltica de segurana um conjunto de normas e diretrizes destinadas a proteo dos ativos da Organizao; Prover administrao uma direo para Segurana da Informao; Convm que a Poltica seja clara, flaxvel e aprovada pela administrao, publicada e comunicada, de forma oficial, para todos os funcionrios e partes externa relevantes;

ISO/IEC 17799
Poltica de Segurana

Definies das reponsabilidades na gesto de segurana; Referncias documentao que possam apoiar a poltica;

Controles

Controles de entrada fsica; Controles contra cdigos maliciosos e mveis; Controles de acesso ao SO e a rede; Controles criptogrficos;

Controles

Controles de entrada fsica;

Controles

Controles contra cdigos maliciosos e mveis;

Controles

Controles de acesso ao SO e a rede;

Controles

Controles criptogrficos;

ISO 27001

O padro de certificao

Baseada na BS 7799-2002 Parte 2 Alinhada com ISO 9001 e 14001 (compatvel)

Objetivos

Atender todos os tipos de organizaes Prover modelo para estabelecer, implementar, ..., e melhorar um SGSI

ISO 27001

Importncia da Segurana Informao

Quanto custar uma falha que implique na perda efetiva de informao ? Quais as consequencias da utilizao de informao por pessoas que dela possam fazer uso indevido e no autorizado ? Qual o custo da diminuio de produtividade por erros, falhas de sistema ou utilizao de informao errada ? Voc esta preparado para o prximo incidente com a sua informao ?

ISO 27001

Requisitos

Todas as atividades devem seguir um processo (PDCA) Objetivos de segurana precisam ser especificados Controles devem ser baseados na anlise de risco Verificao e melhoria do processo devem ser contnuas

ISO 27001

FLUXO DO PDCA

ISO 27001

Componentes da ISO 27001

4. Sistema de gesto de segurana da informao (SGSI) 5. Responsabilidade da direo 6. Auditorias internas 7. Analise crtica do SGSI pela direo 8. Melhoria do SGI

ISO 27001

SGSI - Estabelecer o SGSI - Implementar e operar o SGSI - Monitorar e analisar criticamente o SGSI - Manter e melhorar o SGSI - Requisitos de documentao - Controle de Documentos - Controle de registros

ISO 27001

Responsabilidade da direo

Comprometimento da direo Gesto de Recursos - Proviso de recursos - Treinamento, conscientizao e competncia

ISO 27001

Auditorias internas do SGSI

Auditorias internas do SGSI em intervalos planejados para determinar se SGSI:

atende requisitos da norma atendem aos requisitos de segurana identificados esta sendo executado conforme esperado

Procedimento documentado (responsabilidades, requisitos para planejamento e execuo da auditoria) Os auditores no devem auditar seu prprio trabalho (objetividade e imparcialidade)

ISO 27001

Anlise crtica do SGSI pela Direo

Analise do SGSI em intervalos planejados

Entradas: resultado de auditorias e anlises crticas, situao das aes preventivas e corretivas, vulnerabilidades no contempladas adequadamente nas anlises anteriores, resultados, recomendaes, mudanas. Sada: oportunidade de incluir melhorias e mudanas, modificao do SGSI (requisito de negcio), necessidade de recursos, etc...

ISO 27001

Melhoria do SGSI

Melhoria contnua por meio do uso da poltica estabelecida, resultados das auditorias, analise dos eventos monitorados, aes corretivas (etapas anteriores) Eliminao das no conformidades atraves de aes corretivas ou preventivas

ISO 27001

Benefcios da certificao

Certificar que as melhores praticas esto sendo seguidas Requisitos Governamentais Diferencial de Marketing Resultado natural de uma necessidade intrnseca dos tempos (terrorismo .... rsrsrs)

ISO 27001

Empresas Certificadas

No Brasil apenas 15 organizaes possuem certificado BS7799-2, dentre elas: Serasa, Banco Matone, Samarco, Modulo Security, Unisys, PRODESP, SERPRO, Telefonica. Modulo Security foi a primeira empresa do mundo a obter certificao ISO 27001

Ferramenta

Ferramenta

CONCLUSO

ALGUM SE ABILITA?

Referncias Bibliogrficas

ISO/IEC 17799 ISO/IEC 27001 http://www.iso.org http://www.iec.ch/ http://en.wikipedia.org/wiki/ISO_27001 http://en.wikipedia.org/wiki/ISO_17799 http://www.modulo.com.br/ http://www.axur.com.br/