Escolar Documentos
Profissional Documentos
Cultura Documentos
27001
Para Dataprev e Senado
Slide
1/63
As Normas
Slide
2/63
Slide
3/63
Slide
4/63
Slide
5/63
0. Introduo
Estrutura
1. Objetivo
2. Referncia normativa
3. Termos e definies
5. Responsabilidades da direo
(Comprometimento da direo / Gesto de recursos)
8. Melhoria do SGSI
(Melhoria contnua / Ao corretiva / Ao preventiva)
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
6/63
Estrutura
Anexos:
Anexo A - normativo:
Objetivos de Controles e Controles (27002 - 5 a 15)
Anexo B - informativo:
Princpios da OECD*
Anexo C - informativo:
Correspondncia c/ ISO 9001 e ISO 14001
*Organizao para cooperao e desenvolvimento econmico
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
7/63
0. Introduo
Slide
8/63
0. Introduo
Slide
9/63
0. Introduo
Estabelecer
Implementar e
Operar
Manter e
Melhorar
Monitorar e
Anal. Criticamente
Slide
10/63
0. Introduo
Slide
11/63
0. Introduo
Slide
12/63
1. Objetivo
1.1 Geral:
- A norma cobre todos os tipos de organizaes;
- Especifica os requisitos para EIOMAMM um
SGSI documentado dentro do contexto dos
riscos de negcio globais da organizao;
- Projetado para assegurar a seleo de controles
de segurana adequados e proporcionados para
proteger os ativos de informao e propiciar
confiana s partes interessadas.
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
13/63
1. Objetivo
1.2 Aplicao:
Slide
14/63
2. Ref. Normativa
Slide
15/63
Gabaritando as Questes!
MCT/2008 - Cargos diversos
[120] A seo 5 da norma ISO/IEC 27001 trata de como a informao deve ser
classificada, de acordo com a sua necessidade de segurana e controle de
acesso.
Slide
16/63
Gabaritando as Questes!
Reflexo Sobre a Questo 120:
muito importante observar que o CESPE dificilmente deixa
apenas um caminho para o candidato gabaritar a questo.
Na questo 120, mesmo que o candidato no soubesse / no
houvesse decorado a estrutura da norma, seria possvel
identificar o erro porque Classificar a Informao uma prtica
(Controle), objeto da norma ABNT NBR ISO/IEC 27002.
Slide
17/63
Gabaritando as Questes!
ANAC 2009
[178] Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos
do sistema de gesto da segurana da informao (SGSI), constata-se
que, no SGSI, o do (fazer) equivale a executar as aes corretivas e
preventivas para alcanar a melhoria contnua do SGSI.
Professor Thiago Fagury
thiago@fagury.com.br
Slide
18/63
Gabaritando as Questes!
Serpro 2010
Slide
19/63
Slide
20/63
Slide
21/63
3. Termos e Definies
3.1 ativo
Qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]
3.2 disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por
uma entidade autorizada
[ISO/IEC 13335-1:2004]
3.3 confidencialidade
Propriedade de que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no
autorizados
[ISO/IEC 13335-1:2004]
Slide
22/63
3. Termos e Definies
3.4 segurana da informao
Slide
23/63
3. Termos e Definies
3.6 incidente de segurana da informao
Um simples ou uma srie de eventos de segurana da informao
indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e
ameaar a segurana da informao
[ISO/IEC TR 18044:2004]
Slide
24/63
3. Termos e Definies
3.8 integridade
Propriedade de salvaguarda da exatido e completeza de
ativos
[ISO/IEC 13335-1:2004]
Slide
25/63
3. Termos e Definies
3.11 anlise de riscos
Uso sistemtico de informaes para identificar fontes e
estimar o risco
[ABNT ISO/IEC Guia 73:2005]
Slide
26/63
3. Termos e Definies
3.14 gesto de riscos
Atividades coordenadas para direcionar e controlar uma
organizao no que se refere a riscos
NOTA
A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de
riscos, a aceitao de riscos e a comunicao de riscos.
[ABNT ISO/IEC Guia 73:2005]
Slide
27/63
3. Termos e Definies
3.16 declarao de aplicabilidade
Declarao documentada que descreve os objetivos de controle
e controles que so pertinentes e aplicveis ao SGSI da
organizao
NOTA
Os objetivos de controle e controles esto baseados nos resultados e concluses dos
processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou
regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a segurana
da informao.
Slide
28/63
Gabaritando as Questes!
Petrobras 2007 / Infra
Slide
29/63
Gabaritando as Questes!
Reflexo - Questo 138
Primeiro ponto: A definio da norma no essa. Embora o
comando da questo no referenciasse a norma, o edital deste
certame o fazia.
Segundo ponto: O acesso por pessoas autorizadas garante
integridade da informao? Jamais. Ou somente no CESPE...
Slide
30/63
Gabaritando as Questes!
Banco da Amaznia 2009
E [51] Um incidente de segurana da informao refere-se a um ou mais
riscos no desejados ou esperados que possuem significativa
probabilidade de comprometer os ativos de informao e ameaam a
segurana da informao
Anac 2009
[100] O sistema de gesto de segurana da informao o sistema global
E de gesto, embasado em uma abordagem de risco, que permite definir,
implementar, operacionalizar e manter a segurana da informao.
Um evento de segurana de informao uma ocorrncia em um
E [112]
sistema, servio ou estado de rede que indica, entre outras possibilidades,
um possvel desvio em relao aos objetivos de segurana especficos da
organizao, e um incidente de segurana de informao um evento nico
ou uma srie de eventos indesejados de segurana da informao que
possuem um impacto mediano sobre os negcios.
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
31/63
Slide
32/63
Slide
33/63
Slide
34/63
Slide
35/63
Slide
36/63
Slide
37/63
Slide
38/63
4. SGSI
Requisitos gerais
A organizao deve estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do
contexto das atividades de negcio globais da
organizao e os riscos que ela enfrenta.
Slide
39/63
4. SGSI
Estabelecer o SGSI
A organizao deve:
Definir o escopo e os limites do SGSI nos
termos das caractersticas do negcio, a
organizao, sua localizao, ativos e tecnologia,
incluindo detalhes e justificativas para quaisquer
excluses do escopo
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
40/63
4. SGSI
Estabelecer o SGSI
A organizao deve:
- Definir a abordagem de anlise/avaliao de riscos da
organizao (metodologia);
- Identificar os riscos (ativos/proprietrios);
- Analisar/avaliar riscos (probabilidades e impacto);
- Identificar e avaliar as opes de tratamento;
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
41/63
4. SGSI
Estabelecer o SGSI
- Selecionar os objetivos de controle para tratamento de riscos
(anexo A);
- Obter aprovao da direo dos riscos residuais propostos;
- Obter autorizao da direo para implementar e operar o
SGSI;
- Preparar uma Declarao de Aplicabilidade (controles
aplicveis e justificativas de excluso).
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
42/63
4. SGSI
Slide
43/63
4. SGSI
Slide
44/63
4. SGSI
Slide
45/63
4. SGSI
f)
Realizar uma anlise crtica do SGSI pela direo em bases
regulares para assegurar que o escopo permanece adequado e que
so identificadas melhorias nos processos do SGSI
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
46/63
4. SGSI
Slide
47/63
4. SGSI
Requisitos de Documentao
- A documentao deve incluir registros de decises da direo,
assegurar que as aes sejam rastreveis s polticas e decises da
direo, e assegurar que os resultados registrados sejam
reproduzveis;
- Deve incluir declaraes documentadas da poltica, escopo,
procedimentos e controles que apoiam o SGSI, metodologia e
relatrio da anlise/aval. de riscos, procedimentos documentados
para EIOMAMM o SGSI e declarao de aplicabilidade;
- Controle de documentos;
- Controle de registros.
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
48/63
5. Resp. da Direo
5.1 Comprometimento da Direo:
A Direo deve fornecer evidncia do seu comprometimento
com o EIOMAMM do SGSI mediante:
a)
o estabelecimento da poltica do SGSI;
b) a garantia de que so estabelecidos os planos e objetivos do
SGSI;
c)
o estabelecimento de papis e responsabilidades pela
segurana de informao;
d) a comunicao organizao da importncia em atender aos
objetivos de segurana da informao e conformidade;
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
49/63
5. Resp. da Direo
5.1 Comprometimento da Direo:
e) a proviso de recursos suficientes para EIOMAMM o SGSI;
f)
a definio de critrios para aceitao de riscos e dos nveis de
riscos aceitveis;
g) a garantia de que as auditorias internas do SGSI sejam
realizadas;
h) a conduo de anlises crticas do SGSI pela direo.
Slide
50/63
5. Resp. da Direo
5.2 Gesto dos Recursos:
Slide
51/63
6. Auditorias Internas
A organizao deve conduzir auditorias internas
do SGSI a intervalos planejados para determinar
se os objetivos de controle, controles, processos
e procedimentos do seu SGSI so executados
como esperado, se so eficazes e atendem aos
requisitos de conformidade e de SI.
Slide
52/63
Slide
53/63
Slide
54/63
8. Melhoria do SGSI
Melhoria contnua
Slide
55/63
Gabaritando as Questes!
E
Aneel 2010
[110] Os objetivos de controle e os controles pertinentes e
aplicveis ao SGSI da organizao devem ser selecionados
exclusivamente com base nos resultados e concluses dos processos
de anlise/avaliao de riscos e de decises acerca de como
controlar, evitar, transferir ou aceitar tais riscos.
Exclusivamente? E os requisitos de conformidade? E o negcio?
Slide
56/63
Gabaritando as Questes!
ANAC 2009
C [97] Na definio de um sistema de gesto de segurana da
informao, deve-se definir o escopo, a poltica e a abordagem para
a identificao de riscos, bem como identificar e avaliar alternativas
para o tratamento dos mesmos.
E [98] Apesar de recomendvel, a aceitao de riscos residuais no
precisa necessariamente passar pela aprovao da gesto superior
da organizao.
C [99] Na implementao e operacionalizao do sistema de gesto
de segurana da informao, deve-se medir a eficcia dos controles
propostos.
96 e 100 j foram feitas.
Slide
57/63
Gabaritando as Questes!
Comentrio sobre a 99:
Slide
58/63
Gabaritando as Questes!
Anatel 2009 - Negcios
(referindo-se a figura do PDCA)
C!
Slide
59/63
Gabaritando as Questes!
TCU 2009
Slide
60/63
Gabaritando as Questes!
Serpro 2008 - Redes
E
[86] A declarao de aplicabilidade um documento que
deve detalhar os objetivos de controle e os controles a
serem implementados para a segurana da informao.
Os demais controles e objetivos de controle, no
inclusos na declarao de aplicabilidade, devem fazer
parte do documento de anlise de GAP.
C [87] A definio de critrios para aceitao de riscos
uma das responsabilidades da alta administrao, segundo
a norma NBR ISO/IEC 27001.
E [88] O estabelecimento da poltica do sistema de gesto
de segurana da informao (SGSI) de responsabilidade
da equipe de segurana da informao.
Professor Thiago Fagury
thiago@fagury.com.br
segunda-feira, 13 de junho de 2011
Slide
61/63
Gabaritando as Questes!
Serpro 2008 - Redes
Slide
62/63
Gabaritando as Questes!
MPS 2010
Slide
63/63