Escolar Documentos
Profissional Documentos
Cultura Documentos
Iec 17799 27001
Iec 17799 27001
R e c o n h e c i d o
Internacional
ISO / IEC
Nacional
ABNT
Brasil
ANSI
USA
China
SAC
Ingraterra
BSI
BS 7799-1
BS 7799-2
BS 7799-3
ISO/IEC
As sries 27000
ISO/IEC 27000, 27001, 27002, 27003, 27004, 27005, 27006, 27007, ... , 27799; Onde algumas foram baseadas nas BS 7799 e na ISO 17799;
Tabela Evolutiva
BSI
BS7799-2 BS7799-1
ISO/IEC
ISO/IEC
Objetivo
Lanamento
Em preparao 2005 Previso p/ 2007 Em preparao Em preparao Previso p/ 2007 2007 Em preparao ... Em preparao
ISO 17799
BS7799-3
...
...
ISO 27000 Vocabulrio ISO 27001 SGSI ISO 27002 Cd. Boas Prticas ISO 27003 Nova SGSI ISO 27004 Medies ISO 27005 Gerenciar Riscos ISO 27006 Guia p/ Certificao ISO 27007 Guia de Auditoria ... ... ISO/DIS27799 Cuidados Indstrias
Escopo do Trabalho
ISO/IEC 17799;
ISO/IEC 27001;
ISO/IEC 17799
Cdigo de Prtica para a Gesto da Segurana da Informao
Definies (17)
ativo, controle, diretriz, recursos de processamento da informao, segurana da informao, evento de segurana da informao, incidente de segurana da informao, poltica, risco, anlise de riscos, anlise/avaliao de riscos, avaliao de riscos, gesto de riscos, tratamento do risco, terceira parte, ameaa, vulnerabilidade
ISO/IEC 17799
Cdigo de Prtica para a Gesto da Segurana da Informao
ativo
qualquer coisa que tenha valor para a organizao forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou contramedida. preservao da confidencialidade, da integridade e da disponibilidade da informao intenes e diretrizes globais formalmente expressas pela
controle
segurana da informao
poltica
ISO/IEC 17799
Objetivo
Estabelecer cdigos de boas prticas para a gesto de segurana da informao Dar instrumentos para a implantao de segurana da informao de acordo com a caractersticas de uma empresa
ISO/IEC 17799
Sees
a) Poltica de Segurana da Informao (1); b) Organizao a Segurana da Informao (2); c) Gesto de Ativos (2); d) Segurana em Recursos Humanos (3); e) Segurana Fsica e do Ambientes (2); f) Gesto das Operaes de Comunicao (10); g) Controle de Acesso (7); h) Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao (6); i) Gesto de Incidentes de Segurana da Informao (2); j) Gesto da Continuidade do Negcio (1); k) Conformidade (3).
ISO/IEC 17799
Principais Categorias Cada categoria principal de Segurana da Informao contm: a)um objetivo de controle que define o que deve ser alcanado; e b)um ou mais controles que podem ser aplicados para se alcana o objetivo do controle
ISO/IEC 17799
Estrutura dos Controles
Controle - definio do controle Diretrizes para a implementao - informaes mais detalhadas Informaes adicionais - consideraes legais e referncias a outras normas
ISO/IEC 17799
Poltica de Segurana
A poltica de segurana um conjunto de normas e diretrizes destinadas a proteo dos ativos da Organizao; Prover administrao uma direo para Segurana da Informao; Convm que a Poltica seja clara, flaxvel e aprovada pela administrao, publicada e comunicada, de forma oficial, para todos os funcionrios e partes externa relevantes;
ISO/IEC 17799
Poltica de Segurana
Definies das reponsabilidades na gesto de segurana; Referncias documentao que possam apoiar a poltica;
Controles
Controles de entrada fsica; Controles contra cdigos maliciosos e mveis; Controles de acesso ao SO e a rede; Controles criptogrficos;
Controles
Controles
Controles
Controles
Controles criptogrficos;
ISO 27001
O padro de certificao
Objetivos
Atender todos os tipos de organizaes Prover modelo para estabelecer, implementar, ..., e melhorar um SGSI
ISO 27001
Quanto custar uma falha que implique na perda efetiva de informao ? Quais as consequencias da utilizao de informao por pessoas que dela possam fazer uso indevido e no autorizado ? Qual o custo da diminuio de produtividade por erros, falhas de sistema ou utilizao de informao errada ? Voc esta preparado para o prximo incidente com a sua informao ?
ISO 27001
Requisitos
Todas as atividades devem seguir um processo (PDCA) Objetivos de segurana precisam ser especificados Controles devem ser baseados na anlise de risco Verificao e melhoria do processo devem ser contnuas
ISO 27001
FLUXO DO PDCA
ISO 27001
ISO 27001
SGSI - Estabelecer o SGSI - Implementar e operar o SGSI - Monitorar e analisar criticamente o SGSI - Manter e melhorar o SGSI - Requisitos de documentao - Controle de Documentos - Controle de registros
ISO 27001
Responsabilidade da direo
ISO 27001
atende requisitos da norma atendem aos requisitos de segurana identificados esta sendo executado conforme esperado
Procedimento documentado (responsabilidades, requisitos para planejamento e execuo da auditoria) Os auditores no devem auditar seu prprio trabalho (objetividade e imparcialidade)
ISO 27001
Entradas: resultado de auditorias e anlises crticas, situao das aes preventivas e corretivas, vulnerabilidades no contempladas adequadamente nas anlises anteriores, resultados, recomendaes, mudanas. Sada: oportunidade de incluir melhorias e mudanas, modificao do SGSI (requisito de negcio), necessidade de recursos, etc...
ISO 27001
Melhoria do SGSI
Melhoria contnua por meio do uso da poltica estabelecida, resultados das auditorias, analise dos eventos monitorados, aes corretivas (etapas anteriores) Eliminao das no conformidades atraves de aes corretivas ou preventivas
ISO 27001
Benefcios da certificao
Certificar que as melhores praticas esto sendo seguidas Requisitos Governamentais Diferencial de Marketing Resultado natural de uma necessidade intrnseca dos tempos (terrorismo .... rsrsrs)
ISO 27001
Empresas Certificadas
No Brasil apenas 15 organizaes possuem certificado BS7799-2, dentre elas: Serasa, Banco Matone, Samarco, Modulo Security, Unisys, PRODESP, SERPRO, Telefonica. Modulo Security foi a primeira empresa do mundo a obter certificao ISO 27001
Ferramenta
Ferramenta
CONCLUSO
ALGUM SE ABILITA?
Referncias Bibliogrficas
ISO/IEC 17799 ISO/IEC 27001 http://www.iso.org http://www.iec.ch/ http://en.wikipedia.org/wiki/ISO_27001 http://en.wikipedia.org/wiki/ISO_17799 http://www.modulo.com.br/ http://www.axur.com.br/