Resumo ISO 27002 Foundation

Mdulo 1 - Introduo
1. Introduo Segurana da Informao Gesto e no um processo tecnolgico! Implantar um SGSI ISO 20000-1 (Gesto de Servios de TI) + ISO 27001 + ISO 27002 ISO 27001:2006 (old BS 7799-2:2002 Sistema de Gesto de SI Requisitos Considera segurana fsica, tcnica, procedimental e em pessoas. (Requisitos) Tm toda parte de elaborao de Matriz e acompanhamento do SGSI com anexo dos controles. Pode ser auditada por terceiros. ISO 27002:2005 (baseada na BS7799-1:1999 old ISO 17799:2000) Cdigo de Prticas para Gesto de SI] Melhores Prticas para a Gesto da Seg. da Informao. 11 Captulos 39 objetivos 133 controles Baseada no PDCA um guia, e mostra como implementar os Controles Ambas so metodologias estruturadas reconhecidas internacionalmente, dedicadas Seg. da Informao. Um processo definido para avaliar, implementar, manter e gerenciar a Seg. da Informao. Um grupo completo de controles contendo as melhores prticas para Seg. da Inf. No so Normas Tcnicas / Dirigidas para produtos ou tecnologia A ISO 27001 e a 27002 podem ser implantadas em conjunto (SLIDE 15) Implantar centralmente e desdobrar globalmente so uma boa prtica. Dificuldades para Implantar um SGSI Abordagem sistemtica, simples e clara para gesto de riscos. Ineficincia ao utilizar um plano de continuidade de negcios (falta teste). Designar a TI para ser responsvel pelo projeto Falta de viso ao estabelecer os parmetros dos controles da norma Falta de ao para identificar e usar controles fora da norma. Limitao de Oramento. Benefcios da Implantao ISO 27001 / 27002 Reduo de riscos de responsabilidade pela no implementao de um SGSI ou determinar polticas. Oportunidade de identificar e corrigir pontos fracos. A Alta direo assume a responsabilidade pela Seg. da Inf. Permite reviso independente do Sistema de Gesto da Seg. da Informao. Oferece confiana aos parceiros comerciais, partes interessadas e clientes. Melhora conscientizao sobre segurana Combina recursos com outros sistemas de gesto Metas da ISO 27001 / 27002 Salvaguardar a CONFIDENCIALIDADE / INTEGRIDADE / DISPONIBILIDADE da informao. ISO 27003 Orientao a partir do uso do PDCA para implantao de um SGSI ISO 27004 Planos de emergncia e mtricas para Sistemas de Seg. da Informao.

Mdulo 2 Informao / Objetivos do Negcio / Requisitos de Qualidade

1. Informao Ativo que tm valor para o negcio. Tm o valor que o usurio d a ela Quem recebe a informao que d o valor a ela ! Independente da sua forma, deve sempre estar devidamente protegida. Tipos Escrita/digital/Visual/Processos/Know-how/etc. Tipos/Origem Internas Voc no gostaria que a concorrncia soubesse. Clientes/Fornecedores Eles no gostariam que vc divulgasse. Parceiros Necessitam ser compartilhadas com outros parceiros comerciais. Ativo (em relao ISO 27001) Relevante ao SGSI Informao Eletrnica / Doc. em Papel / SW / HW / Instalaes / Pessoas / Servios Para a ISO 27002 devem-se definir quais ativos tem valor. Deve-se valorizar os ativos para implementar o processo de implementao do SGSI. Estados Criada Transmitida Processada Utilizada - Armazenada Corrompida Perdida Nossa preocupao! ISO 27002 Destruda Conceitos Sistema de Informao No necessariamente um sistema de TI (Ex.: Cabine de Telefonia) Combinao de meios, procedimentos e pessoas que forneam inform. para um processo operacional. Pode ser melhorado por um Sistema de TI com estaes de trabalho, redes, servidores, etc. Arquitetura da Informao Processo focado em preparar o fornecimento da informao dentro da organizao. Processos Operacionais e a Informao Processos Primrios Relacionados com a realizao do produto/servio. Processos-Guias (de gesto) Planejamento e Estratgias. Processos Suporte Compras, vendas e RH, etc. Anlise da Informao Elaborar um desenho do fluxo da informao dentro da organizao. (Ex.: Reserva de Hotel via website) Gesto da Informao Formula e direciona a poltica relativa ao fornecimento de informao em uma organizao. Pode ser um comunicao externa organizao, como a mdia, com as partes interessadas, etc. Informtica Relaciona-se cincia lgica para trazer estrutura informao e ao sistema. Segurana da Informao Proteo da informao contra qualquer tipo de ameaa, garantindo a continuidade dos negcios Anti-vrus, Spywares, etc. (malwares) Worms Primeira vez em 2006 StormWorm Links de Bancos, pishing sites por e-mail. Ameaas Exemplos Funcionrios descontentes ou desmotivados Baixa conscientizao nos assuntos de segurana Crescimento do processamento distribudo e das relaes entre profissionais e empresas.

2.

3.

4.

Aumento da complexidade e eficcia das ferramentas de hacking /vrus E-mails e outras formas de troca da informao Inexistncia de planos de recuperao a desastres. Desastres naturais ou no. Falta de polticas e procedimentos implementados. (Termo de confidencialidade, mesa limpa, etc.) Impactos Exemplos Perda de Clientes e Contratos Danos imagem Perda de Produtividades Aumento no custo do trabalho e retrabalho Aumento de Seguros Penalidades e Multas

ASPECTOS (Trip, onde um puxa mais o outra tm menos Equilibrar !!!) CIA Confidentiality / Integrity / Availability ou CID. Confidencialidade Somente para pessoas autorizadas. o grau no qual o acesso informao restrito para determinadas pessoas. Exemplos de medidas Acesso informao garantido somente onde necessrio. Medidas para garantir que a inf. no est disponvel para quem no tem direito de acesso. Gesto de Acesso Lgico um desenvolvedor no pode alterar o seu salrio na base. Separao de ambientes de produo, testes, aceitao, etc. Integridade Exatido da informao em sua completa forma. Atualizao da Informao sem erros / completa e correta. Exemplos de medidas Mudanas autorizadas de dados Uso correto dos termos (usurios/Clientes) Aes de usurios registradas Aes importantes no podem ser feitas por somente uma pessoa Uso de criptografia para garantir a segurana da informao. Disponibilidade Assegurar o acesso aos usurios autorizados. Ter a informao quando eu quero! Caractersticas Pontualidade : disponvel quando necessrio Continuidade : continuar trabalhando em caso de falhas Robustez : capacidade suficiente. Exemplos de medidas Gesto de Estocagem de Dados (Store SAS/NAS) e no em um pc local. Procedimentos de Backup Procedimentos de Emergncia.

Resumo Alcanamos a seg. da Inf. atravs da implementao de um conjunto de controles, polticas, processos. Cada empresa nica em suas exigncias e requisitos de controle para o CIA. No necessrio que todos os controles da norma se apliquem a uma organizao.