Você está na página 1de 98

Gesto de Segurana da Informao

NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters

sexta-feira, 5 de novembro de 2010

As Normas
NBR ISO/IEC 27001 - Requisitos para
implantar um SGSI gesto de SI de SI

NBR ISO/IEC 27002 - Prticas para a NBR ISO/IEC 27005 - Gesto de riscos 27004 e 27003 - Gesto de SI (Medio)
e Guia de Impl. SGSI

27006 e 27007 - Requisitos e Diretrizes


para auditoria de um SGSI
sexta-feira, 5 de novembro de 2010

Estrutura

NBR ISO/IEC 27001

0. Introduo 1. Objetivo 2. Referncia normativa 3. Termos e denies

4. Sistema de gesto de segurana da informao


(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentao)

5. Responsabilidades da direo
(Comprometimento da direo / Gesto de recursos)

6. Auditorias internas do SGSI 7. Anlise crtica do SGSI pela direo


(Geral / Entradas para a anlise crtica / Sadas da Anlise Crtica) (Melhoria contnua / Ao corretiva / Ao preventiva)
sexta-feira, 5 de novembro de 2010

8. Melhoria do SGSI

Estrutura

NBR ISO/IEC 27001

Anexos:
Anexo A - normativo: Objetivos de Controles e Controles (27002 - 5 a 15) Anexo B - informativo: Princpios da OECD* Anexo C - informativo: Correspondncia c/ ISO 9001 e ISO 14001
*Organizao para cooperao e desenvolvimento econmico
sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27001

Esta Norma foi preparada para prover um modelo para EIOMAMM um Sistema de Gesto de Segurana da Informao (SGSI). EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar

sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27001


- A adoo de um SGSI estratgica; - Necessidades e objetivos, requisitos de segurana, processos empregados, tamanho e estrutura da organizao direcionam a implementao; - SGSIs mudam ao longo do tempo; - Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas. - Para ns de certicao a 27001 a referncia (antiga BS7799-2).

sexta-feira, 5 de novembro de 2010

0. Introduo
Estabelecer

NBR ISO/IEC 27001

Implementar e Operar

Manter e Melhorar

Monitorar e Anal. Criticamente

- Abordagem de processo: indica processos denidos, geridos e interativos; - Baseada no ciclo PDCA.
sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27001


Plan (planejar) - estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao. Do (fazer) - implementar e operar a poltica, controles, processos e procedimentos do SGSI. Check (checar) - avaliar e, quando aplicvel, medir o desempenho de um processo frente poltica, objetivos e experincia prtica do SGSI e apresent. os resultados p/ a anlise crtica pela direo. Act (agir) - Executar as aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.

sexta-feira, 5 de novembro de 2010

0. Introduo
Conformidade:

NBR ISO/IEC 27001

- Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004* para apoiar a implementao e a operao de forma consistente e integrada com normas de gesto relacionadas.
*Tratam do Sistema de Gesto da Qualidade e Sistema de Gesto Ambiental

sexta-feira, 5 de novembro de 2010

1. Objetivo

NBR ISO/IEC 27001 1.1 Geral: - A norma cobre todos os tipos de organizaes; - Especica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao; - Projetado para assegurar a seleo de controles de segurana adequados e proporcionados para proteger os ativos de informao e propiciar conana s partes interessadas.

sexta-feira, 5 de novembro de 2010

1. Objetivo
1.2 Aplicao:

NBR ISO/IEC 27001

- Os requisitos denidos so genricos e aplicveis a todas as organizaes, independentemente de tipo, tamanho e natureza; - A excluso de quaisquer dos requisitos em 4, 5, 6, 7, e 8 no aceitvel quando uma organizao reivindica conformidade com a norma; - Excluso de controle considerado necessrio aos critrios de aceitao de riscos precisa ser justicada e evidncias de que os riscos associados foram aceitos pelas pessoas responsveis precisam ser fornecidas; - A menos que tais excluses no afetem a capacidade da organizao, e/ ou responsabilidade de prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliao de riscos e por requisitos legais e regulamentares aplicveis.
sexta-feira, 5 de novembro de 2010

2. Ref. Normativa
O documento a seguir referenciado indispensvel para a aplicao desta Norma: ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. *Ou seja, a 27002
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

3. Termos e Denies
3.1 ativo Qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]

NBR ISO/IEC 27001

3.2 disponibilidade Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada
[ISO/IEC 13335-1:2004]

3.3 condencialidade Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados
[ISO/IEC 13335-1:2004]
sexta-feira, 5 de novembro de 2010

3. Termos e Denies
3.4 segurana da informao
Preservao da condencialidade, integridade e disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e conabilidade, podem tambm estar envolvidas
[ABNT NBR ISO/IEC 17799:2005]

NBR ISO/IEC 27001

3.5 evento de segurana da informao

Uma ocorrncia identicada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
sexta-feira, 5 de novembro de 2010

3. Termos e Denies
3.6 incidente de segurana da informao Um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]

NBR ISO/IEC 27001

3.7 sistema de gesto da segurana da informao SGSI A parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao

NOTA
O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento, responsabilidades, prticas, procedimentos, processos e recursos.
sexta-feira, 5 de novembro de 2010

3. Termos e Denies
3.8 integridade Propriedade de salvaguarda da exatido e completeza de ativos
[ISO/IEC 13335-1:2004]

NBR ISO/IEC 27001

3.9 risco residual Risco remanescente aps o tratamento de riscos


[ABNT ISO/IEC Guia 73:2005]

3.10 aceitao do risco Deciso de aceitar um risco


[ABNT ISO/IEC Guia 73:2005]
sexta-feira, 5 de novembro de 2010

3. Termos e Denies
3.11 anlise de riscos Uso sistemtico de informaes para identicar fontes e estimar o risco
[ABNT ISO/IEC Guia 73:2005]

NBR ISO/IEC 27001

3.12 anlise/avaliao de riscos Processo completo de anlise e avaliao de riscos


[ABNT ISO/IEC Guia 73:2005]

3.13 avaliao de riscos Processo de comparar o risco estimado com critrios de risco predenidos para determinar a importncia do risco
[ABNT ISO/IEC Guia 73:2005]

sexta-feira, 5 de novembro de 2010

3. Termos e Denies
3.14 gesto de riscos Atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA
A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos. [ABNT ISO/IEC Guia 73:2005]

NBR ISO/IEC 27001

3.15 tratamento do risco Processo de seleo e implementao de medidas para modicar um risco
NOTA
Nesta Norma o termo controle usado como um sinnimo para medida. [ABNT ISO/IEC Guia 73:2005]

sexta-feira, 5 de novembro de 2010

3. Termos e Denies
3.16 declarao de aplicabilidade Declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao SGSI da organizao
NOTA
Os objetivos de controle e controles esto baseados nos resultados e concluses dos processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a segurana da informao.

NBR ISO/IEC 27001

sexta-feira, 5 de novembro de 2010

4. SGSI

NBR ISO/IEC 27001

Requisitos gerais A organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que ela enfrenta.

sexta-feira, 5 de novembro de 2010

4. SGSI

NBR ISO/IEC 27001 Estabelecer o SGSI A organizao deve: Denir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia, incluindo detalhes e justicativas para quaisquer excluses do escopo

sexta-feira, 5 de novembro de 2010

4. SGSI

NBR ISO/IEC 27001 Estabelecer o SGSI A organizao deve: - Denir a abordagem de anlise/avaliao de riscos da organizao (metodologia); - Identicar os riscos (ativos/proprietrios); - Analisar/avaliar riscos (probabilidades e impacto); - Identicar e avaliar as opes de tratamento;

sexta-feira, 5 de novembro de 2010

4. SGSI

NBR ISO/IEC 27001

Estabelecer o SGSI
- Selecionar os objetivos de controle para tratamento de riscos (anexo A); - Obter aprovao da direo dos riscos residuais propostos; - Obter autorizao da direo para implementar e operar o SGSI; - Preparar uma Declarao de Aplicabilidade (controles aplicveis e justicativas de excluso).
sexta-feira, 5 de novembro de 2010

4. SGSI

NBR ISO/IEC 27001

Implementar e Operar o SGSI


A organizao deve: - Formular um plano de tratamento de riscos que identique a ao de gesto apropriada, recursos, responsabilidades e prioridades para a gesto dos riscos de segurana; - Implementar o plano de tratamento de riscos para alcanar os objetivos de controle identicados, que inclua consideraes de nanciamentos e atribuio de papis e responsabilidades. - Implementar os controles selecionados para atender aos objetivos de controle. - Denir como medir a eccia dos controles selecionados;
sexta-feira, 5 de novembro de 2010

4. SGSI

NBR ISO/IEC 27001

Implementar e Operar o SGSI


- Implementar programas de conscientizao e treinamento; - Gerenciar as operaes do SGSI; - Gerenciar os recursos para o SGSI; - Implementar procedimentos e outros controles capazes de permitir a pronta deteco de eventos de SI e resposta a incidentes de segurana da informao

sexta-feira, 5 de novembro de 2010

4. SGSI

NBR ISO/IEC 27001

Monitorar e Analisar Criticamente o SGSI


a)
Executar procedimentos de monitorao e anlise crtica e outros controles; b)Realizar anlises crticas regulares da eccia do SGSI (incluindo o atendimento da poltica e dos objetivos do SGSI, e a anlise crtica de controles de segurana), levando em considerao os resultados de auditorias de segurana da informao, incidentes de segurana da informao, resultados da eccia das medies, sugestes e realimentao de todas as partes interessadas. c)
Medir a eccia dos controles para vericar que os requisitos de segurana da informao foram atendidos.
sexta-feira, 5 de novembro de 2010

4. SGSI

NBR ISO/IEC 27001

Monitorar e Analisar Criticamente o SGSI


d)
Analisar criticamente as anlises/avaliaes de riscos a intervalos planejados e analisar criticamente os riscos residuais e os nveis de riscos aceitveis identicados; e)
Conduzir auditorias internas do SGSI a intervalos planejados (Seo 6);
NOTA
Auditorias internas, s vezes chamadas de auditorias de primeira parte, so conduzidas por ou em nome da prpria organizao para propsitos internos.

f)
Realizar uma anlise crtica do SGSI pela direo em bases regulares para assegurar que o escopo permanece adequado e que so identicadas melhorias nos processos do SGSI
sexta-feira, 5 de novembro de 2010

4. SGSI

NBR ISO/IEC 27001

Manter e Melhorar o SGSI


a)
Implementar as melhorias identicadas no SGSI. b) Executar as aes preventivas e corretivas apropriadas. Aplicar as lies aprendidas de experincias de segurana da informao de outras organizaes e aquelas da prpria organizao. c) Comunicar as aes e melhorias a todas as partes interessadas com um nvel de detalhe apropriado s circunstncias e, se relevante, obter a concordncia sobre como proceder. d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.
sexta-feira, 5 de novembro de 2010

4. SGSI

NBR ISO/IEC 27001

Requisitos de Documentao
- A documentao deve incluir registros de decises da direo, assegurar que as aes sejam rastreveis s polticas e decises da direo, e assegurar que os resultados registrados sejam reproduzveis; - Deve incluir declaraes documentadas da poltica, escopo, procedimentos e controles que apoiam o SGSI, metodologia e relatrio da anlise/aval. de riscos, procedimentos documentados para EIOMAMM o SGSI e declarao de aplicabilidade; - Controle de documentos; - Controle de registros.
sexta-feira, 5 de novembro de 2010

5. Responsabilidade da Direo
5.1 Comprometimento da Direo:
A Direo deve fornecer evidncia do seu comprometimento com o EIOMAMM do SGSI mediante: a)
o estabelecimento da poltica do SGSI; b) a garantia de que so estabelecidos os planos e objetivos do SGSI; c)
o estabelecimento de papis e responsabilidades pela segurana de informao; d) a comunicao organizao da importncia em atender aos objetivos de segurana da informao e conformidade;

NBR ISO/IEC 27001

sexta-feira, 5 de novembro de 2010

5. Responsabilidade da Direo
5.1 Comprometimento da Direo:
e) a proviso de recursos sucientes para EIOMAMM o SGSI; f)
a denio de critrios para aceitao de riscos e dos nveis de riscos aceitveis; g) a garantia de que as auditorias internas do SGSI sejam realizadas; h) a conduo de anlises crticas do SGSI pela direo.

NBR ISO/IEC 27001

sexta-feira, 5 de novembro de 2010

5. Responsabilidade da Direo
5.2 Gesto dos Recursos: 5.2.1 - Proviso de recursos; 5.2.2 - Treinamento, conscientizao e competncia.

NBR ISO/IEC 27001

sexta-feira, 5 de novembro de 2010

6. Auditorias Internas
A organizao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI so executados como esperado, se so ecazes e atendem aos requisitos de conformidade e de SI.

NBR ISO/IEC 27001

sexta-feira, 5 de novembro de 2010

7. Anlise Crtica pela Direo


A direo deve analisar criticamente o SGSI da organizao a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contnua pertinncia, adequao e eccia. Entradas: - resultados de auditorias do SGSI e anlises crticas; - realimentao das partes interessadas; - situao das aes preventivas e corretivas; - vulnerabilidades ou ameaas no contempladas ant.; - resultados da eccia das medies; - acompanhamento das aes oriundas de anlises crticas anteriores; - recomendaes para melhoria.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

7. Anlise Crtica pela Direo


Sadas: a) Melhoria da eccia do SGSI. b) Atualizao da anlise/avaliao de riscos e do plano de tratamento de riscos. c)
Modicao de procedimentos e controles que afetem a segurana da informao d) Necessidade de recursos. e) Melhoria de como a eccia dos controles est sendo medida.

NBR ISO/IEC 27001

sexta-feira, 5 de novembro de 2010

8. Melhoria do SGSI
Melhoria contnua A organizao deve continuamente melhorar a eccia do SGSI por meio do uso da poltica de segurana da informao, objetivos de segurana da informao, resultados de auditorias, anlises de eventos monitorados, aes corretivas e preventivas e anlise crtica pela direo. Aes corretivas e preventivas Identicar no-conformidades; Determinar as causas de noconformidades; Avaliar a necessidade de aes para assegurar que no haja recorrncia; Determinar e implementar as aes necessrias; Registrar os resultados das aes executadas; Analisar Criticamente as Aes.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27001

Exerccios e Observaes
- Consideraes sobre o Anexo A da norma; - Dvidas; - Resoluo de questes; - O que vimos aqui?

NBR ISO/IEC 27001

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002


O nico lugar onde o sucesso vem antes do trabalho no dicionrio (Einstein)

sexta-feira, 5 de novembro de 2010

Estrutura

NBR ISO/IEC 27002

0. INTRODUO 1. OBJETIVO 2. TERMOS E DEFINIES 3. ESTRUTURA DA NORMA

4. ANLISE/AVALIAO E TRATAMENTO DE RISCOS 5. POLTICA DE SEGURANA DA INFORMAO 6. ORGANIZANDO A SEGURANA DA INFORMAO 7. GESTO DE ATIVOS 8. SEGURANA EM RECURSOS HUMANOS 9. SEGURANA FSICA E DO AMBIENTE 10. GERENCIAMENTO DAS OPERAES E COMUNICAES 11. CONTROLE DE ACESSOS 12. AQUISIO, DESENVOLVIMENTO E MANUTENO DE SISTEMAS 13. GESTO DE INCIDENTES DE SEGURANA DA INFORMAO 14. GESTO DA CONTINUIDADE DO NEGCIO 15. CONFORMIDADE
sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27002

- A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita ser adequadamente protegida. - A informao pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em lmes ou falada em conversas. - Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio.
sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27002

- A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. - Estes controles precisam ser EIOMAMM. - Fontes de requisitos de SI: * Anlise/Avaliao de Riscos; * Legislao e normas vigentes; * Princpios e objetivos de negcio.

sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27002

- Os requisitos de segurana da informao so identicados por meio de uma anlise/avaliao sistemtica dos riscos de segurana da informao. - Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciais falhas na segurana da informao. - Convm que a anlise/avaliao de riscos seja repetida periodicamente para contemplar quaisquer mudanas que possam inuenciar os resultados desta anlise/avaliao.
sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27002 Seleo de controles:


- Os controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender s necessidades especcas, conforme apropriado; - A seleo de controles de segurana da informao depende das decises da organizao, baseadas nos critrios para aceitao de risco, nas opes para tratamento do risco e no enfoque geral da gesto de risco aplicado organizao; - Convm ser observados requisitos de conformidade.

sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27002


Ponto de partida para a SI: Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem, dependendo da legislao aplicvel: a) proteo de dados e privacidade de informaes pessoais; b) proteo de registros organizacionais; c) direitos de propriedade intelectual. Os controles considerados prticas para a SI incluem: a) documento da poltica de segurana da informao; b) atribuio de responsabilidades para a SI; c) conscientizao, educao e treinamento em SI;

sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27002

d) processamento correto nas aplicaes; e) gesto de vulnerabilidades tcnicas; f)


gesto da continuidade do negcio; g) gesto de incidentes de SI e melhorias. - Esses controles se aplicam para a maioria das organizaes e na maioria dos ambientes. - Apesar deste ser um ponto de partida, recomendvel a seleo de controles com base na anlise/avaliao de riscos.
sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27002

Fatores crticos de sucesso: a)


poltica de segurana da informao, objetivos e atividades, que reitam os objetivos do negcio; b) uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao que seja consistente com a cultura organizacional; c)
comprometimento e apoio visvel dos nveis gerenciais; d) um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da gesto de risco;

sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27002

e) divulgao eciente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao; f)
distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas; g)
proviso de recursos nanceiros para as atividades da gesto de segurana da informao;

sexta-feira, 5 de novembro de 2010

0. Introduo

NBR ISO/IEC 27002

h)
proviso de conscientizao, treinamento e educao adequados; i)
estabelecimento de um eciente processo de gesto de incidentes de segurana da informao; j)
implementao de um sistema de medio, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes para a melhoria.

sexta-feira, 5 de novembro de 2010

1. Objetivo

NBR ISO/IEC 27002

Esta Norma estabelece diretrizes e princpios gerais para IIManMe a gesto de segurana da informao em uma organizao. Os objetivos denidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao. IIManMe: iniciar, implementar, manter e melhorar
sexta-feira, 5 de novembro de 2010

2. Termos e Denies
2.1 ativo qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]

NBR ISO/IEC 27002

2.2 controle forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal
NOTA
Controle tambm usado como um sinmino para proteo ou contramedida.

2.3 diretriz descrio que orienta o que deve ser feito e como, para se alcanarem os objetivos estabelecidos nas polticas
[ISO/IEC 13335-1:2004]
sexta-feira, 5 de novembro de 2010

2. Termos e Denies
2.4 recursos de processamento da informao qualquer sistema de processamento da informao, servio ou infra-estrutura, ou as instalaes fsicas que os abriguem 2.5 segurana da informao preservao da condencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e conabilidade, podem tambm estar envolvidas

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

2. Termos e Denies
2.6 evento de segurana da informao ocorrncia identicada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao
[ISO/IEC TR 18044:2004]

NBR ISO/IEC 27002

2.7 incidente de segurana da informao um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]

2.8 poltica intenes e diretrizes globais formalmente expressas pela direo


sexta-feira, 5 de novembro de 2010

2. Termos e Denies
2.9 risco combinao da probabilidade de um evento e de suas conseqncias
[ABNT ISO/IEC Guia 73:2005]

NBR ISO/IEC 27002

2.10 anlise de riscos uso sistemtico de informaes para identicar fontes e estimar o risco
[ABNT ISO/IEC Guia 73:2005]

2.11 anlise/avaliao de riscos processo completo de anlise e avaliao de riscos


[ABNT ISO/IEC Guia 73:2005]

2.12 avaliao de riscos processo de comparar o risco estimado com critrios de risco prdenidos para determinar a importncia do risco
[ABNT ISO/IEC Guia 73:2005]
sexta-feira, 5 de novembro de 2010

2. Termos e Denies
2.13 gesto de riscos atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos.
[ABNT ISO/IEC Guia 73:2005]

NBR ISO/IEC 27002

2.14 tratamento do risco processo de seleo e implementao de medidas para modicar um risco
[ABNT ISO/IEC Guia 73:2005]

2.15 terceira parte pessoa ou organismo reconhecido como independente das partes envolvidas, no que se refere a um dado assunto
[ABNT ISO/IEC Guia 2:1998]
sexta-feira, 5 de novembro de 2010

2. Termos e Denies
2.16 ameaa causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao
[ISO/IEC 13335-1:2004]

NBR ISO/IEC 27002

2.17 vulnerabildade fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas

sexta-feira, 5 de novembro de 2010

3. Estrutura da Norma
- 11 sees de controles de segurana , totalizando 39 categorias principais de segurana e seo preliminar que trata a anlise/avaliao e o tratamento de riscos. - A norma apresenta 39 objetivos de controle (categorias) e 133 controles de segurana. - A ordem das sees no segue grau de importncia , cando a cargo de cada organizao identicar as sees aplicveis e a relevncia de cada uma. - Cada categoria principal de segurana da informao contm um objetivo de controle que dene o que deve ser alcanado; e um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

3. Estrutura da Norma
Estrutura das Sees - Objetivo do controle: o que deve ser alcanado; - Controle: controle a ser implementado para atender o objetivo do controle; - Diretrizes: informaes mais detalhadas para apoiar a implementao do controle; - Informaes adicionais: informaes que podem ser consideradas na implementao do controle, tais como aspectos legais e referncias a outras normas.

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

4. Anl./Aval. e Tratamento de Riscos


- Convm que as anlises/avaliaes de riscos identiquem, quantiquem e priorizem os riscos com base em critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. - Convm que a anlise/avaliao de riscos inclua um enfoque sistemtico de estimar a magnitude do risco (anlise de riscos) e o processo de comparar os riscos estimados contra os critrios de risco para determinar a signicncia do risco (avaliao do risco). - Convm que as anlises/avaliaes de riscos tambm sejam realizadas periodicamente, para contemplar as mudanas nos requisitos de segurana da informao e na situao de risco, ou seja, nos ativos, ameaas, vulnerabilidades, impactos, avaliao do risco e quando uma mudana signicativa ocorrer.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

4. Anl./Aval. e Tratamento de Riscos


- Antes de considerar o tratamento de um risco, a organizao deve denir os critrios para avaliar se os riscos podem ser ou no aceitos; - Para cada risco identicado, uma deciso de tratamento deve ser tomada; - Opes de tratamento: *Aplicar controles para a reduo do risco; *Conhecer objetivamente e aceitar o risco; *Evitar os riscos, proibindo aes que possam causar o risco; *Transferir para outras partes (Ex: Seguradoras).

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

5. Poltica de SI

NBR ISO/IEC 27002

- Convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de segurana da informao para toda a organizao. - Deve conter: * Uma denio de segurana da informao, suas metas globais, escopo e importncia da segurana da informao; * Uma declarao do comprometimento da direo; * Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de anlise/avaliao e gerenciamento de risco; * Denio das responsabilidades gerais e especcas na GSI.

sexta-feira, 5 de novembro de 2010

5. Poltica de SI
- Apenas uma categoria:

NBR ISO/IEC 27002

* Poltica de Segurana da Informao


- Controles:

* Documento da poltica de segurana da informao; * Anlise Crtica da poltica de segurana da informao.

sexta-feira, 5 de novembro de 2010

6. Organizando a SI
Objetivo: Gerenciar a segurana da informao dentro da organizao. - Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da informao dentro da organizao. - Convm que a direo aprove a poltica de segurana da informao, atribua as funes da segurana, coordene e analise criticamente a implementao da segurana da informao por toda a organizao. - Categorias: * Infraestrutura da segurana da informao e Partes externas
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

6. Organizando a SI
- Controles: * Comprometimento da direo com a SI; * Coordenao da SI; * Atribuio de responsabilidades para SI; * Processo de autorizao p/ os recursos de processamento da inf.; * Acordos de condencialidade; * Contato com autoridades; * Contato com grupos especiais; * Anlise Crtica Independente de SI; * Identicao de riscos relacionados com partes externas; * Identicao da SI ao tratar com clientes; * Identicao da SI nos acordos com terceiros.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

7. Gesto de Ativos
- Objetivo: Alcanar e manter a proteo adequada dos ativos da organizao. - Convm que todos os ativos sejam inventariados e tenham um proprietrio responsvel. - Convm que os proprietrios dos ativos sejam identicados e a eles seja atribuda a responsabilidade pela manuteno apropriada dos controles. Categorias: * Responsabilidade pelos ativos; * Classicao da informao.

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

7. Gesto de Ativos
- Controles: * Inventrio dos ativos; * Propriedade dos ativos; * Uso aceitvel dos ativos; * Recomendaes para classicao da informao; * Rtulos e tratamento da informao.

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

8. Segurana em RH
- Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos. - Convm que as responsabilidades pela segurana da informao sejam atribudas antes da contratao, de forma adequada, nas descries de cargos e nos termos e condies de contratao. - Convm que todos os candidatos ao emprego, fornecedores e terceiros sejam adequadamente analisados, especialmente em cargos com acesso a informaes sensveis. - Convm que todos os funcionrios, fornecedores e terceiros, usurios dos recursos de processamento da informao, assinem acordos sobre seus papis e responsabilidades pela segurana da informao.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

8. Segurana em RH
- Categorias: * Antes da contratao; * Durante a contratao; * Encerramento ou mudana da contratao. - Controles: * Papis e Responsabilidades * Seleo; * Termos e condies de contratao; * Responsabilidades da direo; * Conscientizao, educao e treinamento em SI; * Processo disciplinar; * Encerramento de atividades; * Devoluo de ativos; * Retirada de direitos de acesso.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

9. Seg. Fsica e do Ambiente


- Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao. - Convm que as instalaes de processamento da informao crticas ou sensveis sejam mantidas em reas seguras, protegidas por permetros de segurana denidos, com barreiras de segurana e controles de acesso apropriados. Convm que sejam sicamente protegidas contra o acesso no autorizado, danos e interferncias. - Convm que a proteo oferecida seja compatvel com os riscos identicados. - 2 categorias: * reas Seguras; e * Segurana de equipamentos.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

9. Seg. Fsica e do Ambiente


- Controles: * Permetro de Segurana * Segurana em escritrios, salas e instalaes; * Proteo contra ameaas externas e do meio ambiente; * Trabalho em reas seguras; * Acesso do pblico, reas de entrega e carregamento; * Instalao e proteo do equipamento; * Utilidades; * Segurana do cabeamento; * Manuteno dos equipamentos; * Segurana de equipamentos fora das dep. da organizao; * Reutilizao e alienao segura de equipamentos; * Remoo de propriedade.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

NBR ISO/IEC 27002 10. Gerenciamento de Operaes e Comunicaes


- Tratado com nfase em 10 categorias
* Procedimentos e responsabilidades operacionais; * Gerenciamento de servios terceirizados; * Planejamento e aceitao dos sistemas; * Proteo contra cdigos maliciosos e cdigos mveis; * Cpias de segurana; * Gerenciamento da segurana em redes; * Manuseio de mdias; * Troca de informaes; * Servios de comrcio eletrnico; * Monitoramento.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002 10. Gerenciamento de Operaes e Comunicaes


- Controles:
* Documentao dos procedimentos de operao; * Gesto de mudanas; * Segregao de funes; * Separao dos recursos de desenv., teste e produo; * Entrega de servios (de terceiros); * Monit. e Anl. Crtica de Servios Terceirzados; * Gerenciamento de mudanas p/ serv. terceirizados; * Gesto da capacidade; * Aceitao de sistemas; * Controle contra cdigos maliciosos; * Controle contra cdigos mveis;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002 10. Gerenciamento de Operaes e Comunicaes


- Controles:
* Cpias de segurana das informaes; * Controle de redes; * Segurana dos servios de rede; * Gerenciamento de mdias removveis; * Descarte de mdias; * Procedimentos para tratamento de informao; * Segurana da documentao de sistemas; * Polticas e procedimentos para troca de informaes; * Acordos para troca de informaes; * Mdias em trnsito; * Mensagens eletrnicas;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002 10. Gerenciamento de Operaes e Comunicaes


- Controles:
* Sistemas de informao do negcio; * Comrcio eletrnico; * Transaes online; * Informaes publicamente disponveis; * Registros de auditoria; * Monitoramento do uso de sistema; * Proteo das informaes dos registros (log); * Registros (log) de administrador e operador; * Registro (log) de falhas; * Sincronizao de relgios.
sexta-feira, 5 de novembro de 2010

11. Controle de Acessos


Objetivo: Controlar acesso informao. Convm que o acesso informao, recursos de processamento das informaes e processos de negcios sejam controlados com base nos requisitos de negcio e segurana da informao. Convm que as regras de controle de acesso levem em considerao as polticas para autorizao e disseminao da informao.

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

11. Controle de Acessos


- 7 categorias: * Requisitos de negcio para controle de acesso; * Gerenciamento de acesso do usurio; * Responsabilidades dos usurios; * Controle de acesso rede; * Controle de acesso ao sistema operacional; * Controle de acesso aplicao e informao; * Computao mvel e trabalho remoto.

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

11. Controle de Acessos


- Controles: * Poltica de controle de acesso; * Registro de usurio; * Gerenciamento de privilgios; * Gerenciamento de senha do usurio; * Anlise Crtica dos direitos de acesso de usurio; * Uso de senhas; * Equipamento de usurio sem monitorao; * Poltica de mesa limpa e tela limpa; * Poltica de uso dos servios da rede; * Autenticao para conexo externa do usurio;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

11. Controle de Acessos


- Controles: * Identicao de equipamento em redes; * Proteo e congurao de portas de diagnstico remotas; * Segregao de redes; * Controle de conexo de rede; * Controle de roteamento de redes; * Procedimentos seguros de entrada do sistema; * Identicao e autenticao de usurio; * Sistema de gerenciamento de senha; * Uso de utilitrios de sistema; * Desconexo de terminal por inatividade;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

11. Controle de Acessos


- Controles: * Limitao de horrio de conexo; * Restrio de acesso informao; * Isolamento de sistemas sensveis; * Computao e comunicao mvel; * Trabalho remoto.

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002 12. Aquisio, desenv. e manut. de sistemas de inf.


- Categorias: * Requisitos de segurana de sistemas de informao; * Processamento correto nas aplicaes; * Controles criptogrcos; * Segurana dos arquivos do sistema; * Segurana em processos de desenvolvimento e de suporte; * Gesto de vulnerabilidades tcnicas.

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002 12. Aquisio, desenv. e manut. de sistemas de inf.


- Controles: * Anlise e especicao dos requisitos de segurana; * Validao dos dados de entrada; * Integridade das mensagens; * Validao dos dados de sada; * Poltica para uso de controles criptogrcos; * Gerenciamento de chaves; * Controle de software operacional; * Proteo dos dados para teste de sistemas; * Controle de acesso ao cdigo fonte do programa; * Procedimentos para controle de mudanas;
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002 12. Aquisio, desenv. e manut. de sistemas de inf.


- Controles: * Anlise crtica tcnica das aplicaes aps mudanas de SO; * Restries sobre mudanas em pacotes de software; * Vazamento de informaes; * Desenvolvimento terceirizado de software; * Controle de vulnerabilidades tcnicas.

sexta-feira, 5 de novembro de 2010

13. Gesto de Incidentes de SI


- 2 categorias: * Noticao de fragilidades e eventos de segurana da informao; * Gesto de incidentes de segurana da informao e melhorias. - Controles: * Noticao de eventos de segurana da informao; * Noticao de fragilidades de segurana da informao; * Responsabilidades e procedimentos; * Aprendizado com os incidentes de SI; * Coleta de evidncias.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

14. Gesto de Cont. do Negcio


Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres signicativos, e assegurar a sua retomada em tempo hbil, se for o caso. - Convm que o processo de gesto da continuidade do negcio seja implementado para minimizar um impacto sobre a organizao e recuperar perdas de ativos da informao; - Convm que a gesto da continuidade do negcio inclua controles para identicar e reduzir riscos, em complementao ao processo de anlise/ avaliao de riscos global. - As conseqncias de desastres, falhas de segurana, perda de servios e disponibilidade de servios devem estar sujeitas a uma anlise de impacto nos negcios.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

14. Gesto de Cont. do Negcio


Controles: * Incluso da SI no processo de gerenciamento da continuidade de negcios; * Continuidade de negcios e anlise/avaliao de riscos; * Estrutura do plano de continuidade do negcio; * Testes, manuteno e reavaliao dos planos de continuidade do negcio.

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

15. Conformidade
Objetivos: assegurar conformidade quanto ao aparato normativo vigente, seja ele tcnico, legal (civil, penal, criminal, regulamentao de setor) ou interno ao negcio. Contempla 3 categorias: * Conformidade com requisitos legais; * Conformidade com normas e polticas de segurana da informao e conformidade tcnica; * Consideraes quanto auditoria de sistemas de informao.

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

15. Conformidade
Controles: * Identicao da legislao vigente; * Direitos de propriedade intelectual; * Proteo de registros organizacionais; * Proteo de dados e privacidade de inf. pessoais; * Preveno de mau uso de recursos de proc. da inf.; * Regulamentao de controles e criptograa; * Conformidade com as polticas e normas de SI; * Vericao da conformidade tcnica; * Controles de auditoria de sistemas de informao; * Proteo de ferramentas de auditoria de sistemas de inf.
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27002

Exerccios e Observaes
- Dvidas; - Resoluo de questes; - O que vimos aqui?

NBR ISO/IEC 27002

sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005


Mais do que de mquinas, precisamos de humanidade. Mais do que de inteligncia, precisamos de afeio e doura. Sem essas virtudes, a vida ser de violncia e tudo ser perdido. (Charles Chaplin - O ltimo discurso, do lme O Grande Ditador)

sexta-feira, 5 de novembro de 2010

Estrutura

NBR ISO/IEC 27005

1. Introduo 2. Escopo 3. Referncias Normativas 4. Termos e Denies 5. Organizao da Norma 6. Contextualizao 7. Viso Geral do Processo de Gesto de Riscos de Segurana da Informao 8. Denio do Contexto 9. Anlise/Avaliao de Riscos de SI 10. Anlise/Avaliao de Riscos de SI 11. Tratamento do Risco de SI 12. Aceitao do Risco de SI 13. Comunicao do Risco de SI 14. Monitoramento e Anlise Crtica de Riscos de SI

sexta-feira, 5 de novembro de 2010

Overview

NBR ISO/IEC 27005

- Esta norma est de acordo com os conceitos especicados na ABNT NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementao satisfatria da segurana da informao tendo como base a gesto de riscos. - Esta norma se aplica a todos os tipos de organizao que pretendam gerir os riscos que poderiam comprometer a segurana da informao da organizao.

sexta-feira, 5 de novembro de 2010

Overview

NBR ISO/IEC 27005

- Apresenta diretrizes para o processo de Gesto de Riscos de Segurana da Informao (GRSI) de uma organizao, em conformidade com os requisitos de um SGSI descritos na NBR ISO/IEC 27001. - A norma no inclui uma metodologia especca para a gesto de riscos de segurana da informao. -Cabe organizao denir sua abordagem ao processo de riscos, levando em conta, por exemplo, o escopo dos seu SGSI, o contexto da gesto de riscos e o seu setor de atividade econmica.
sexta-feira, 5 de novembro de 2010

Overview

NBR ISO/IEC 27005


- Esta norma do interesse de gestores e pessoal envolvidos com a gesto de riscos de segurana da informao em uma organizao e, quando aplicvel, em entidades externas que do suporte a essa atividade. - Apresenta diretrizes para o processo de Gesto de Riscos de Segurana da Informao (GRSI) de uma organizao, em conformidade com os requisitos de um SGSI descritos na NBR ISO/IEC 27001. - A norma no inclui uma metodologia especca para a gesto de riscos de segurana da informao. -Cabe organizao denir sua abordagem ao processo de riscos, levando em conta, por exemplo, o escopo dos seu SGSI, o contexto da gesto de riscos e o seu setor de atividade econmica.

sexta-feira, 5 de novembro de 2010

Overview

NBR ISO/IEC 27005


- A 27005 adota como referenciais normativos as normas 27001 e 27002, indispensveis a aplicao desta. - necessria abordagem sistemtica de gesto de riscos de segurana da informao para se identicar as necessidades da organizao em relao aos requisitos de SI e para criar um SGSI ecaz. - A gesto de riscos de SI faz parte da gesto de riscos corporativos, devendo estar alinhada a esta. - Convm que a gesto de riscos de segurana da informao seja um processo contnuo, contemplando: denir o contexto, avaliar e tratar os riscos.

sexta-feira, 5 de novembro de 2010

Overview

NBR ISO/IEC 27005


Termos e denies:
Impacto mudana adversa no nvel obtido dos objetivos de negcios Riscos de segurana da informao a possibilidade de uma ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos, prejudicando a organizao (medido em funo da probabilidade de um evento e de sua consequncia). Ao de evitar o risco deciso de no se envolver ou agir de forma a se retirar de uma situao de risco Comunicao do risco troca ou compartilhamento de informao sobre risco entre o tomador de deciso e outras partes envolvidas

sexta-feira, 5 de novembro de 2010

Overview

NBR ISO/IEC 27005

Termos e denies:
Estimativa de riscos processo utilizado para atribuir valores probabilidade e consequncias de um risco Identicao de riscos processo para localizar, listar e caracterizar elementos do risco Reduo do risco aes tomadas para reduzir a probabilidade, as consequncias negativas ou ambas associadas a um risco Reteno do risco aceitao do nus da perda ou do benefcio do ganho associado a um determinado risco Transferncia do risco compartilhamento com uma outra entidade do nus da perda associado a um risco

sexta-feira, 5 de novembro de 2010

Overview

NBR ISO/IEC 27005

Aplicabilidade: O processo de GRSI pode ser aplicado organizao como um todo, a uma rea especca da organizao (por exemplo: um departamento, uma localidade, um servio), a um sistema de informaes, a controles j existentes, planejados ou apenas a aspectos particulares de um controle (exemplo: Plano de Continuidade de Negcios)

sexta-feira, 5 de novembro de 2010

Overview

NBR ISO/IEC 27005

O processo de gesto de riscos de SI: * Denio do contexto (Seo 7); * Anlise/avaliao de riscos (Seo 8); * Tratamento do risco (Seo 9); * Aceitao do risco (Seo 10); * Comunicao do risco (Seo 11); * Monitoramento e anlise crtica do risco (Seo 12).

sexta-feira, 5 de novembro de 2010

Exerccios e Observaes
- Dvidas; - Resoluo de questes; - O que vimos aqui? Obrigado! @thiagofagury
sexta-feira, 5 de novembro de 2010

NBR ISO/IEC 27005