Escolar Documentos
Profissional Documentos
Cultura Documentos
Capa
Contracapa
Sumrio
A Empresa
- Dados da Empresa
- Definio do negcio
- Faturamento
- Quadro Funcional
- Introduo
- Cenrio Futuro
- Infraestrutura
- Recursos Humanos
- Atividades Estruturadas
Sobre o Projeto
INFORMAES GERAIS
2.1. INTRODUO - (Introduo sobre SI, baseado em levantamento, incidentes, etc,
justificar o porqu est querendo criar uma rea de SI na empresa)
2.2. CENRIO FUTURO PARA O MERCADO - (benefcios que esta rea de SI ir gerar)
2.3. INFRAESTRUTURA - ( Infraestrutura necessria equipamentos e local)
2.4. RECURSOS HUMANOS - (Pessoal envolvido, organograma responsabilidades de SI)
2.5. ATIVIDADES ESTRUTURADAS - (Descrever o posicionamento da rea de SI e suas
atribuies, funes etc )
3. APLICAO DAS DISCIPLINAS DE SI
(Totalmente baseado na norma ISO 27002) Obs: Devem ler e entender a Norma ISO 27002
(antiga ISO 17799)
3.1. O que a Segurana da Informao?
3.2. Por que a Segurana da Informao necessria?
3.3. Como estabelecer requisitos para a Segurana da Informao
3.4. Analisando os riscos de Segurana da Informao
3.5. Seleo de Controles
3.6. Ponto de Partida
3.7. Fatores Crticos de Sucesso
3.8. Desenvolvendo as diretrizes da empresa fictcia
4. NORMAS
Este tpico tem por finalidade a interpretao resumida das normas e melhores prticas
vigentes para Segurana da Informao ou melhores prticas relacionadas.
4.1. BS 7799
4.2. ISO 17799
4.3. ISO 27001
4.4. ISO 27002
4.5. ISO 27005
4.6. BS 25999-1 e 2
INFORMAES GERAIS
5.2.1. Identificao dos riscos...
5.2.3. Identificando segurana da informao...
6. POLTICA DE SEGURANA DA INFORMAO (item 5 da ISO 27002)
6.1 Termos e Definies Gerais (Totalmente baseada nas normas ISO 27001 e ISO 27002)
6.2 Diretrizes gerais de Segurana da Informao (da empresa hipottica que esto fazendo
o trabalho. No mnimo 3 diretrizes (metas)). Obs.: Camada Estratgica
a) Ex.: Garantir a CID das informaes da EMPRESA X.
b)
c)
6.3 Normas que compe a Camada Ttica
Com base na norma ISO 27001 esto sendo estabelecidas as seguintes normas para apoio
ao cumprimento das Diretrizes apresentadas no tpico 5.2:
NORMA 1 Gesto de Ativos (item 7 da norma ISO 27002)
NORMA 2 Segurana em Recursos Humanos (item 8 da norma ISO 27002)
NORMA 3 Segurana fsica e do Ambiente (item 9 da norma ISO 27002)
NORMA 4 Gerenciamento das operaes e comunicaes (item 10 da norma ISO 27002)
NORMA 5 Controle de Acessos (item 11 da norma)
NORMA 6 Aquisio, desenvolvimento e manuteno de sistemas de informao (item 12)
NORMA 7 Gesto de Incidentes de Segurana da Informao (item 13 da norma 27002)
NORMA 8 - Gesto da continuidade de negcio (item 14 da norma)
NORMA 9 Conformidade (item 15)
NORMA 10 - Anlise/avaliao e tratamento de riscos (item 4 da norma ISO 27002)
Procedimentos sero criados de acordo com a necessidade de cada norma, seu pblico e
aplicabilidade a fim de apoiar a aplicao dos controles de segurana, sua aplicabilidade
correta e evidenciar posteriormente para auditorias.
Lista de Procedimentos criados por norma: PRO1 e PRO2 - NORMA 1
6.3.1. NORMA 1 Gesto de Ativos (ateno para esta mudana. Provavelmente tero que
adequar no ndice de vocs.)
Identificao: NRM-01-09
Redator: Analista de Segurana
Responsvel: Gerente de Segurana
Autorizador: Diretor de Riscos
Data:
Verso: A ou nmeros, 1.0
Controle de revises: Anotar o que est sendo alterado de uma verso para outra.
Classificao: Qual a classificao desta norma, parte de toda a Poltica de Segurana da
Confidencial
INFORMAES GERAIS
Informao
6.3.1.1. Objetivo desta norma
6.3.2. NORMA X Classificao e controle de ativos de informao
Identificao: NRM-02-09
Redator: Analista de Segurana
Responsvel: Gerente de Segurana
Autorizador: Diretor de Riscos
Data:
Verso: A ou nmeros, 1.0
Controle de revises: Anotar o que est sendo alterado de uma verso para outra.
Classificao: Qual a classificao desta norma, parte de toda a Poltica de Segurana da
Informao
6.3.2.1. Objetivo desta norma
Manter a proteo adequada dos ativos da organizao e classificar as informaes.
Estabelecer os princpios bsicos para a correta utilizao, por meio eletrnico, magntico
ou fsico, dos bens de informao empregados pela EMPRESA, a fim de evitar a perda por
acidente ou no, da confidencialidade, da integridade e de disponibilidade das informaes.
Determinar diretrizes para a proteo das informaes mantidas ou controladas pela
EMPRESA, pelos seus funcionrios, consultores, fornecedores de Servios e Prestadores
de Servios na realizao de suas funes.
6.3.2.2. Aspectos Gerais
As informaes disponveis aos usurios da informao da EMPRESA, quer sejam em meio
eletrnico ou em qualquer outro meio, so de propriedade exclusiva da EMPRESA.
O uso da informao deve ser, nica e exclusivamente para o desenvolvimento das
atividades relacionadas s funes exercidas na EMPRESA.
6.3.2.3. Aplicabilidade
Esta norma se aplica a todos na organizao
6.3.2.4. Validade
Esta norma foi publicada em XX/XX/XXXX e validade da sua publicao at 12 meses,
quando dever sofrer reviso e atualizao, caso seja necessria.
6.3.2.5. Contabilizao dos ativos
Objetivo:
6.3.2.5.1. Inventrio dos ativos de informao
Interpretar a norma e redigir o pargrafo com as expresses DEVE, DEVEM
RESPONSABILIDADE DE TODOS
6.3.2.6. Classificao da Informao
Confidencial
INFORMAES GERAIS
6.3.2.6.1 Determinaes para a Classificao
Para aplicarmos a segurana da informao adequadamente uma das primeiras iniciativas
Classificar a Informao, da seguinte forma:
1. Identificao
2. Definio de Rtulo e Rotulagem
3. Planejar os controles de segurana
4. Planejar o Tratamento de Incidentes
6.3.2.6.2 Rtulos
Ex.: Os rtulos que sero utilizados pela EMPRESA so:
Secreto - So todas as informaes altamente impactantes e devemser altamente
controladas em seu ciclo de vida
Confidencial - So todas as informaes sensveis e devem ser controladas em seu ciclo
Uso Interno - So todas as informaes de uso interno ou interdepartamental e devem ser
controladas
Pblico - So todas as informaes que podem ser divulgadas a qualquer tipo de pblico e
devem ser monitoradas
6.3.2.6.3 Rotulagem
A forma de rotulagem dever ser:
Ex.: Secreta: canto superior esquerdo, ARIAL 10, preta. Idem para os demais rtulos
6.3.2.6.4 Controle no ciclo de vida
Os seguintes orientaes e controles de segurana devero ser implementados da seguinte
forma:
Confidencial - Manuseio, Armazenamento, Transporte e Descarte, Prazo de Guarda.
(Descrever)
INFORMAES GERAIS
Orientaes adicionais
O Trabalho tcnico dever ser efetuado em grupo durante todo o curso. Trata-se da EMPRESA
hipottica.
Confidencial
INFORMAES GERAIS
Todas as disciplinas estudadas devero ser implementadas na empresa hipottica como parte da
misso e atividades do grupo, que no trabalho trata-se da equipe de Segurana da Informao que
est sendo estabelecida nesta EMPRESA.
O Trabalho tcnico e o acadmico so diferentes e podem ter temas distintos
O Trabalho acadmico poder ser feito em grupo, TCC, ou individual, Monografia. Sero orientados
nas aulas de Metodologia Cientfica.
HAVER muita dificuldade com as avaliaes de riscos, pois, so complexas e haver mais de uma
durante o curso.
Ao final de cada CAMADA do curso de GTSI: Estratgica, Ttica e Operacional, haver Oficinas
Integradoras para avaliao do grupo e individual, sendo:
o Oficina 1 - Exame sobre todas as disciplinas apresentadas e apresentao em
grupo sobre a EMPRESA
* Oficina 2 - Atividade de Auditoria
* Oficina 3 - Parte 1 - Apresentao dos detalhes e objetivos
* Oficina 3 - Parte 2 - Reviso de documentao e alinhamento
* Oficina 3 - Parte 3 - Simulao de Auditoria de Documentao de ISO 27001, com o objetivo
de certificao na norma.
TODAS AS OFICINAS E ATIVIDADES SERO APRESENTADAS ANTECIPADAMENTE.
Sucesso!
Jeferson DAddario
Coordenador de ps-graduao GTSI e IFFC
Confidencial