INFORMAES GERAIS

Trabalho Tcnico do curso de ps-graduao Gesto e Tecnologia em

Segurana da Informao
Objetivo: Implementao da rea de Segurana da Informao em uma empresa hipottica.
TEMA: Criao da rea de Segurana da Informao
A finalidade deste trabalho criar uma empresa hipottica onde devero elaborar um projeto da criao da
rea de Segurana da Informao na empresa.
Estrutura padro de desenvolvimento de trabalhos acadmicos.
Escolha o segmento: Indstria, Financeiro, Gs & leo, TI, Sade, Governo, Manufatura ou
Servios.
Estrutura do Trabalho:
A regra para criao do documento a que consta na norma ABNT para trabalhos acadmicos.
(www.abnt.org.br)

Capa
Contracapa
Sumrio
A Empresa

- Dados da Empresa
- Definio do negcio
- Faturamento
- Quadro Funcional

- Introduo
- Cenrio Futuro
- Infraestrutura
- Recursos Humanos
- Atividades Estruturadas

Sobre o Projeto

A seguir o que deve conter os tpicos

CAMADA 1 - ESTRATGICA
1. A EMPRESA
1.1. DADOS DA EMPRESA - (Ramo de Atividade, posio no mercado, viso, misso)
1.2. DEFINIO DO NEGCIO - (Produtos e Servios)
1.3. FATURAMENTO - ( Dados financeiros da empresa)
1.4. QUADRO FUNCIONAL - (Nmero de empregados / organograma)
2. SOBRE O PROJETO
Confidencial

GTSI- Gesto e Tecnologia em Segurana da Informao

INFORMAES GERAIS
2.1. INTRODUO - (Introduo sobre SI, baseado em levantamento, incidentes, etc,
justificar o porqu est querendo criar uma rea de SI na empresa)
2.2. CENRIO FUTURO PARA O MERCADO - (benefcios que esta rea de SI ir gerar)
2.3. INFRAESTRUTURA - ( Infraestrutura necessria equipamentos e local)
2.4. RECURSOS HUMANOS - (Pessoal envolvido, organograma responsabilidades de SI)
2.5. ATIVIDADES ESTRUTURADAS - (Descrever o posicionamento da rea de SI e suas
atribuies, funes etc )
3. APLICAO DAS DISCIPLINAS DE SI
(Totalmente baseado na norma ISO 27002) Obs: Devem ler e entender a Norma ISO 27002
(antiga ISO 17799)
3.1. O que a Segurana da Informao?
3.2. Por que a Segurana da Informao necessria?
3.3. Como estabelecer requisitos para a Segurana da Informao
3.4. Analisando os riscos de Segurana da Informao
3.5. Seleo de Controles
3.6. Ponto de Partida
3.7. Fatores Crticos de Sucesso
3.8. Desenvolvendo as diretrizes da empresa fictcia

4. NORMAS
Este tpico tem por finalidade a interpretao resumida das normas e melhores prticas
vigentes para Segurana da Informao ou melhores prticas relacionadas.
4.1. BS 7799
4.2. ISO 17799
4.3. ISO 27001
4.4. ISO 27002
4.5. ISO 27005
4.6. BS 25999-1 e 2

5. ORGANIZANDO A SEGURANA DA INFORMAO.

(item 6 da ISO 27002) - Obs: Ler, analisar, entender e aplicar conforme a norma ISO 27002.
5.1. Organizao interna
5.1.1. Comprometimento...
5.1.8. Anlise Crtica independente...
5.2. Partes Externas
Confidencial

GTSI- Gesto e Tecnologia em Segurana da Informao

INFORMAES GERAIS
5.2.1. Identificao dos riscos...
5.2.3. Identificando segurana da informao...
6. POLTICA DE SEGURANA DA INFORMAO (item 5 da ISO 27002)
6.1 Termos e Definies Gerais (Totalmente baseada nas normas ISO 27001 e ISO 27002)
6.2 Diretrizes gerais de Segurana da Informao (da empresa hipottica que esto fazendo
o trabalho. No mnimo 3 diretrizes (metas)). Obs.: Camada Estratgica
a) Ex.: Garantir a CID das informaes da EMPRESA X.
b)
c)
6.3 Normas que compe a Camada Ttica
Com base na norma ISO 27001 esto sendo estabelecidas as seguintes normas para apoio
ao cumprimento das Diretrizes apresentadas no tpico 5.2:
NORMA 1 Gesto de Ativos (item 7 da norma ISO 27002)
NORMA 2 Segurana em Recursos Humanos (item 8 da norma ISO 27002)
NORMA 3 Segurana fsica e do Ambiente (item 9 da norma ISO 27002)
NORMA 4 Gerenciamento das operaes e comunicaes (item 10 da norma ISO 27002)
NORMA 5 Controle de Acessos (item 11 da norma)
NORMA 6 Aquisio, desenvolvimento e manuteno de sistemas de informao (item 12)
NORMA 7 Gesto de Incidentes de Segurana da Informao (item 13 da norma 27002)
NORMA 8 - Gesto da continuidade de negcio (item 14 da norma)
NORMA 9 Conformidade (item 15)
NORMA 10 - Anlise/avaliao e tratamento de riscos (item 4 da norma ISO 27002)
Procedimentos sero criados de acordo com a necessidade de cada norma, seu pblico e
aplicabilidade a fim de apoiar a aplicao dos controles de segurana, sua aplicabilidade
correta e evidenciar posteriormente para auditorias.
Lista de Procedimentos criados por norma: PRO1 e PRO2 - NORMA 1
6.3.1. NORMA 1 Gesto de Ativos (ateno para esta mudana. Provavelmente tero que
adequar no ndice de vocs.)
Identificao: NRM-01-09
Redator: Analista de Segurana
Responsvel: Gerente de Segurana
Autorizador: Diretor de Riscos
Data:
Verso: A ou nmeros, 1.0
Controle de revises: Anotar o que est sendo alterado de uma verso para outra.
Classificao: Qual a classificao desta norma, parte de toda a Poltica de Segurana da
Confidencial

GTSI- Gesto e Tecnologia em Segurana da Informao

INFORMAES GERAIS
Informao
6.3.1.1. Objetivo desta norma
6.3.2. NORMA X Classificao e controle de ativos de informao
Identificao: NRM-02-09
Redator: Analista de Segurana
Responsvel: Gerente de Segurana
Autorizador: Diretor de Riscos
Data:
Verso: A ou nmeros, 1.0
Controle de revises: Anotar o que est sendo alterado de uma verso para outra.
Classificao: Qual a classificao desta norma, parte de toda a Poltica de Segurana da
Informao
6.3.2.1. Objetivo desta norma
Manter a proteo adequada dos ativos da organizao e classificar as informaes.
Estabelecer os princpios bsicos para a correta utilizao, por meio eletrnico, magntico
ou fsico, dos bens de informao empregados pela EMPRESA, a fim de evitar a perda por
acidente ou no, da confidencialidade, da integridade e de disponibilidade das informaes.
Determinar diretrizes para a proteo das informaes mantidas ou controladas pela
EMPRESA, pelos seus funcionrios, consultores, fornecedores de Servios e Prestadores
de Servios na realizao de suas funes.
6.3.2.2. Aspectos Gerais
As informaes disponveis aos usurios da informao da EMPRESA, quer sejam em meio
eletrnico ou em qualquer outro meio, so de propriedade exclusiva da EMPRESA.
O uso da informao deve ser, nica e exclusivamente para o desenvolvimento das
atividades relacionadas s funes exercidas na EMPRESA.
6.3.2.3. Aplicabilidade
Esta norma se aplica a todos na organizao
6.3.2.4. Validade
Esta norma foi publicada em XX/XX/XXXX e validade da sua publicao at 12 meses,
quando dever sofrer reviso e atualizao, caso seja necessria.
6.3.2.5. Contabilizao dos ativos
Objetivo:
6.3.2.5.1. Inventrio dos ativos de informao
Interpretar a norma e redigir o pargrafo com as expresses DEVE, DEVEM
RESPONSABILIDADE DE TODOS
6.3.2.6. Classificao da Informao
Confidencial

GTSI- Gesto e Tecnologia em Segurana da Informao

INFORMAES GERAIS
6.3.2.6.1 Determinaes para a Classificao
Para aplicarmos a segurana da informao adequadamente uma das primeiras iniciativas
Classificar a Informao, da seguinte forma:
1. Identificao
2. Definio de Rtulo e Rotulagem
3. Planejar os controles de segurana
4. Planejar o Tratamento de Incidentes
6.3.2.6.2 Rtulos
Ex.: Os rtulos que sero utilizados pela EMPRESA so:
Secreto - So todas as informaes altamente impactantes e devemser altamente
controladas em seu ciclo de vida
Confidencial - So todas as informaes sensveis e devem ser controladas em seu ciclo
Uso Interno - So todas as informaes de uso interno ou interdepartamental e devem ser
controladas
Pblico - So todas as informaes que podem ser divulgadas a qualquer tipo de pblico e
devem ser monitoradas
6.3.2.6.3 Rotulagem
A forma de rotulagem dever ser:
Ex.: Secreta: canto superior esquerdo, ARIAL 10, preta. Idem para os demais rtulos
6.3.2.6.4 Controle no ciclo de vida
Os seguintes orientaes e controles de segurana devero ser implementados da seguinte
forma:
Confidencial - Manuseio, Armazenamento, Transporte e Descarte, Prazo de Guarda.
(Descrever)

6.3.2.6.5 Inventrio de informaes do negcio inicial

Listar todas as informaes encontradas na anlise inicial e mencionar qual a classificao
recomendada pela equipe de segurana. (Pode ser separado por reas)
A PARTIR DAQUI CONTINUEM SEGUINDO O MODELO
6.3.3. NORMA X XXXXX
Identificao: NRM-03-09
Redator: Analista de Segurana
Responsvel: Gerente de Segurana
Autorizador: Diretor de Riscos
Data:
Verso: A ou nmeros, 1.0
Controle de revises: Anotar o que est sendo alterado de uma verso para outra.
Classificao: Qual a classificao desta norma, parte de toda a Poltica de Segurana da
Informao
Confidencial

GTSI- Gesto e Tecnologia em Segurana da Informao

INFORMAES GERAIS

6.3.3.1. Objetivo desta norma

Obs. gerais:
PRATICAMENTE CADA DISCIPLINA TER UM TPICO QUE SER DESENVOLVIDO
PELO GRUPO
CAMADA 2 - TTICAS
X. FORENSE
X. AUDITORIA
X. Gesto por indicadores
CAMADA 3 - OPERACIONAIS (Aplicao de Controles de Segurana)
X. Seg. Redes
X. Seg. Desenvolvimento de Sistemas
X. Seg. Fsica e Ambiental
XX. ESTABELECIMENTO DO SGSI
XXX. Escopo da certificao (Processo ou Processos envolvidos (Unidades de Negcios e outros))
XXXX. Lista de Ativos (Informao, Pessoas, Hdw, Sfw, etc.)
XXXX. Lista de locais
XXX. Poltica de Segurana da Informao
XXXX. Referenciar a PSI existente em outros tpicos do trabalho
XXX. Avaliao de Riscos (foco no escopo da certificao) obs: A norma de avaliao de riscos
explicar o mtodo e como dever ser feito o clculo.
XXXX. Metodologia
XXXX. Clculo
XXXX. Resultados obtidos
XXXX. Critrios de Tratamento dos Riscos (Definir o que ser tratado e o que no ser tratado de
acordo com os clculos de riscos).
XXX. Declarao de Aplicabilidade (SOA - Statement of Aplicability)
Controle, Descrio, Aplicado (S/N), Justificativa (Se foi implementado o porque? e se no foi o
porque tambm?)
Obs.: Deve conter todos os controles recomendados pela norma ISO 27001/27002

Orientaes adicionais

O Trabalho tcnico dever ser efetuado em grupo durante todo o curso. Trata-se da EMPRESA
hipottica.

Confidencial

GTSI- Gesto e Tecnologia em Segurana da Informao

INFORMAES GERAIS

Todas as disciplinas estudadas devero ser implementadas na empresa hipottica como parte da
misso e atividades do grupo, que no trabalho trata-se da equipe de Segurana da Informao que
est sendo estabelecida nesta EMPRESA.
O Trabalho tcnico e o acadmico so diferentes e podem ter temas distintos
O Trabalho acadmico poder ser feito em grupo, TCC, ou individual, Monografia. Sero orientados
nas aulas de Metodologia Cientfica.
HAVER muita dificuldade com as avaliaes de riscos, pois, so complexas e haver mais de uma
durante o curso.
Ao final de cada CAMADA do curso de GTSI: Estratgica, Ttica e Operacional, haver Oficinas
Integradoras para avaliao do grupo e individual, sendo:
o Oficina 1 - Exame sobre todas as disciplinas apresentadas e apresentao em
grupo sobre a EMPRESA
* Oficina 2 - Atividade de Auditoria
* Oficina 3 - Parte 1 - Apresentao dos detalhes e objetivos
* Oficina 3 - Parte 2 - Reviso de documentao e alinhamento
* Oficina 3 - Parte 3 - Simulao de Auditoria de Documentao de ISO 27001, com o objetivo
de certificao na norma.
TODAS AS OFICINAS E ATIVIDADES SERO APRESENTADAS ANTECIPADAMENTE.

Sucesso!

Jeferson DAddario
Coordenador de ps-graduao GTSI e IFFC

Confidencial

GTSI- Gesto e Tecnologia em Segurana da Informao