Gesto de Risco

ISOs 27001/2 e BS 25999

Professor: Conrado Frassini

cfrassini@uol.com.br

ISO17799 - Histria

Ao longo da histria, desde a mais remota antigidade, o ser humano vem

buscando controlar as informaes que julga importantes.
C f
Conforme
relaciona
l i
S h i (2001),
Schneier
(2001) na antiga
ti Chi
China a prpria
i linguagem
li
escrita era usada como uma forma de criptografia na medida que somente
as classes superiores podiam aprender a ler e a escrever.
Outros povos, como os egpcios e os romanos deixaram registrado na
histria sua preocupao com o trato de certas informaes, especialmente
as de valor estratgico e comercial.
Com a Segunda Guerra Mundial
Mundial, a questo da segurana ganhou uma
nova dimenso, na medida em que sistemas automticos, eletro-mecnicos
foram criados tanto para criptografar como para efetuar a criptoanlise e
quebrar a codificao (SCHNEIER, 2001).

Professor: Conrado Frassini

cfrassini@uol.com.br

Cenrio atual

Tradicionalmente, as organizaes dedicam grande ateno para com seus

ativos tangveis fsicos e financeiros, mas relativamente pouca ateno aos
ativos de informao que possuem.

Em anos recentes, contudo, a informao assumiu importncia vital para

manuteno dos negcios - dinamicidade da economia globalizada e
permanentemente on-line.

Atualmente, no h organizao humana que no dependente da

tecnologia de informaes, em maior ou menor grau, de forma que o
comprometimento do sistema de informaes por problemas de segurana
pode causar grandes prejuzos ou mesmo levar a organizao a falncia
(CARUSO, 1999).

Professor: Conrado Frassini

cfrassini@uol.com.br

Cenrio atual

Visando minimizar esses riscos, a ISO (International Standartization

Organization), publicou uma norma internacional para garantir a segurana
das informaes nas empresas.

A ABNT (Associao Brasileira de Normas Tcnicas), operando em

sintonia com a ISO e atenta as necessidades nacionais quanto a segurana
da informao, disponibilizou o projeto na verso brasileira da norma ISO
para consulta pblica e posterior votao e publicao.

As empresas compreendem que as normas ISO e ABNT so o resultado de

um esforo internacional que consumiu anos de pesquisa e
desenvolvimento para se obter um modelo de segurana eficiente e
universal
universal.

Professor: Conrado Frassini

cfrassini@uol.com.br

Normas de Seguran
Segurana
a

ISO/IEC 27002: Cdigo de Prtica para Gesto da Segurana da Informao.

Cobit: Framework de Controles para avaliar o nvel de maturidade dos
processos de TI em organizaes de diferentes segmentos
ISO/IEC 27001: Sistema de Gesto de Segurana da Informao (SGSI).
ISO/IEC 27005: Norma que integra a famlia ISO 27000 e que tem como foco
o processo de
Gesto de Riscos em Segurana da Informao.
BS 25999: Cdigo de Prtica para Gesto da Continuidade de Negcios.
DSS-PCI: Padro para segurana de dados em transaes de pagamento
com carto.
ISO/IEC 15408: Norma voltada para avaliao do nvel de segurana de
sistemas computacionais em geral
ISO/IEC 27004: Norma que integra a famlia ISO 27000 e que tem como foco
definir tcnicas e procedimentos para avaliar a eficcia dos controles
implementados.

Professor: Conrado Frassini

cfrassini@uol.com.br

Um breve histrico da evoluo da norma at chegar a ISO

27001:
1995: publicada a primeira verso da BS 7799-1 (BS 7799-1:1995 - Tecnologia
da Informao - Cdigo de prtica para gesto da segurana da informao)
1998: publicada a primeira verso da BS 7799-2 (BS 7799-2:1998 - Sistema de
gesto da Segurana da Informao - Especificaes e guia para uso)
1999: publicada uma reviso da BS 7799-1 (BS 7799-1:1999- Tecnologia da
Informao - Cdigo de prtica para gesto da segurana da informao)
2000: publicada a primeira verso da norma ISO/IEC 17799 (ISO/IEC
17799:2000 - Tecnologia da Informao - Cdigo de prtica para gesto da
segurana
g
da informao
tambm referenciada como BS ISO/IEC 17799:2000))

Professor: Conrado Frassini

cfrassini@uol.com.br

Um breve histrico da evoluo da norma at chegar a ISO

27001:
2001: publicada a primeira verso da norma no Brasil, NBR ISO/IEC 17799
(NBR ISO/IEC 17799:2001 - Tecnologia da Informao - Cdigo de prtica para
gesto da segurana da informao)
2002: publicada reviso da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema
de gesto da Segurana da Informao - Especificaes e guia para uso)
Agosto/2005: publicada a segunda verso da norma no Brasil, NBR ISO/IEC
17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informao - Cdigo de
prtica para gesto da segurana da informao)
Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 Tecnologia da Informao - Tcnicas de segurana - Sistema de gesto da
Segurana da Informao - Requisitos)
2005- Converso da ISO/EC 17799:2005 em ISO/IEC 27002:2005.

Professor: Conrado Frassini

cfrassini@uol.com.br

Um breve histrico da evoluo da norma at chegar a ISO

27001:
ISO/IEC 17799, que a evoluo da BS7799-1, incorporada pela ISO em
2000.
As normas, a ISO/IEC 27001 e a ISO/IEC 17799, j esto alinhadas.
2007 Correo da norma ISO/IEC 27002:2005
Formando assim a famlia ISO/IEC 27000.
As mudanas mais relevantes na migrao para norma ISO/IEC 27001
ocorreram na estrutura do SGSI (sistema de gesto de segurana da
informao), quando so destacados aspectos de auditoria interna e
indicadores de desempenho do sistema de gesto de segurana e no Anexo A
que passou a ter na ISO/IEC 27001 11 sees, pois foi includa a seo Gesto
de Incidentes de Segurana da Informao:

Professor: Conrado Frassini

cfrassini@uol.com.br

ISO/IEC 27002:2005 - estrutura

A verso brasileira: NBR ISO/IEC 17799:2005.

Os tpicos que a subdividem por assunto so chamados de sees, como,

por exemplo, a seo 11 - Controle de acessos.

No nvel seguinte esto as categorias, que especificam ainda mais o

assunto abordado, como, por exemplo, a categoria 11.1 - Requisitos de
negcio para controle de acesso.

No ltimo nvel, encontram-se os controles.

Na verso atual h diretrizes para a implementao, com informaes

d t lh d sobre
detalhadas
b como iimplementar
l
t o controle,
t l e iinformaes
f
adicionais,
di i
i
quando necessrio.

Professor: Conrado Frassini

cfrassini@uol.com.br

ISO/IEC 27002:2005 - Composio

Aa quantidade de controles subiu de 127 para 133,
Remanejados em 39 objetivos de controle, trs a mais que a verso anterior
(36).
As antigas 10 sees (de 3 a 12) foram remodeladas em 11 (de 5 a 15).
Na verso 2005, as sees mais modificadas foram:
Organizando a segurana da informao (6),
Segurana em recursos humanos (8) e Monitoramento (10) - que receberam
uma nova categoria.
Gesto de ativos (7) e Segurana fsica e do ambiente (9) que, contrariamente,
tiveram uma categoria
g
excluda.

Houve ainda a criao de duas sees:

Uma sobre a Gesto de incidentes de segurana da informao (13),
A outra seo trata especificamente da Anlise/avaliao e tratamento de riscos
(4), processo fundamental para a gesto da segurana da informao.

Professor: Conrado Frassini

cfrassini@uol.com.br

ISO/IEC 27002:2005 - Sees

5.Poltica de Segurana da Informao

6. Organizando a Segurana da Informao
7. Gesto de Ativos
8. Segurana em Recursos Humanos
9. Segurana Fsica e do Ambiente
10. Gerenciamento das Operaes e Comunicaes
11. Controle de Acessos
12 Aquisio,
12.
Aquisio Desenvolvimento e Manuteno de Sistemas de Informao
13. Gesto de Incidentes de Segurana da Informao
14. Gesto da Continuidade do Negcio
15. Conformidade
Professor: Conrado Frassini
cfrassini@uol.com.br

CERT.BR - CGI.BR

cartilha-glossario

cartilha-04-fraudes

cartilha-08-malware

cartilha-checklist

Professor: Conrado Frassini

cfrassini@uol.com.br

Professor: Conrado Frassini

cfrassini@uol.com.br

Porque implantar a ISO 27001?

Professor: Conrado Frassini

cfrassini@uol.com.br

A norma ISO 27001:2005 a evoluo natural da norma BS77992:2002

Padro britnico que trata da definio de requisitos para um Sistema
g
da Informao.

Gesto de Segurana
O padro foi incorporado pela The International Organization for
Standardization (ISO).,
Instituio internacional com sede na Sua que cuida do
estabelecimento de padres internacionais de certificao em diversas
reas.
O Reino Unido um grande provedor de regras e
padres,
d
pela
l tradio
d d
de precursor atividades
d d d
de
padronizao desde a Revoluo Industrial. Podemos
citar como exemplo de normas BS que foram
incorporadas pela ISO: BS5750 que virou ISO 9000
(Qualidade) e BS7550 que virou ISO14000 (Meio
Ambiente).
Professor: Conrado Frassini
cfrassini@uol.com.br

A norma ISO 27001:2005 a norma BS7799-2:2002 revisada, com

melhorias e adaptaes.
Contemplando o ciclo PDCA de melhorias e a viso de processos que as
normas de sistemas de gesto j incorporaram.
A reviso foi feita por um comit tcnico de mbito internacional,
formado pela ISO e pelo IEC (The International Eletrotechnical Comission)
Trabalho conjunto que ocorreu desde 2000 efetuou as alteraes que so
a compilao de diversas sugestes que os membros deste comit
apresentaram ao longo do trabalho, cujas reunies de discusso e
apresentao dos resultados ocorreram em diversos pases at o primeiro
semestre de 2005.

Professor: Conrado Frassini

cfrassini@uol.com.br

Situao atual dos certificados no mundo

Professor: Conrado Frassini

cfrassini@uol.com.br

Exemplos de Ameaas Informao

Professor: Conrado Frassini

cfrassini@uol.com.br

Aproximao Holstica
ISO 27001 define melhores prticas para o gerenciamento da
segurana da informao
Um Sistema de gerenciamento deve balancear a segurana
fsica, tcnica, procedural, e pessoal
Sem um sistema de Gerenciamento da Segurana da
Informao formal, como o sistema baseado ISO 7001, existe
um grande risco de a sua segurana ser invadida
Segurana da Informao um processo de gerenciamento,
no um processo tecnolgico
Professor: Conrado Frassini
cfrassini@uol.com.br

ISO 27001 ...

Uma metodologia estruturada reconhecida

internacionalmente dedicada a segurana da
informao

Um processo definido para validar, implementar,

manter e gerenciar a segurana da informao
Um g
grupo
p detalhado de controles compreendidos
p
das
melhores prticas de segurana da informao
Desenvolvido pela indstria para a indstria
Professor: Conrado Frassini
cfrassini@uol.com.br

10

Controles e objetivos de controle

Professor: Conrado Frassini

cfrassini@uol.com.br

ISO 27001 no ...

Um padro tcnico
Um produto ou tecnologia dirigida
Uma metodologia de avaliao do equipamento
Mas pode exigir a utilizao de Nveis de Garantia
dos Equipamentos

Professor: Conrado Frassini

cfrassini@uol.com.br

11

O que Segurana da Informao?

Professor: Conrado Frassini

cfrassini@uol.com.br

O que Segurana da Informao?

Professor: Conrado Frassini

cfrassini@uol.com.br

12

Alcanando a Segurana da Informao

Professor: Conrado Frassini

cfrassini@uol.com.br

Benefcios da Certificao ISO 27001

Responsabilidade reduzida devido s polticas e aos

procedimentos no implementados ou reforados
Oportunidade de identificar e eliminar fraquezas
A Gerncia participa da Segurana da Informao
Reviso independente do seu SGSI
Fornece segurana a todas as partes interessadas
Melhor conscincia da segurana
Une recursos com outros sistemas de gerenciamento
Mecanismo para medir o sucesso do sistema

Professor: Conrado Frassini

cfrassini@uol.com.br

13

Razes para adotar o ISO 27001

Eficcia melhorada da Segurana da Informao

Diferenciao do Mercado
Satisfazer exigncias dos clientes
nico padro com aceitao global
Responsabilidades focadas na equipe de trabalho
A Tecnologia da Informao cobre padres to bem quanto a
organizao, pessoal e facilidades

Mandatos e leis

Professor: Conrado Frassini

cfrassini@uol.com.br

Professor: Conrado Frassini

cfrassini@uol.com.br

14

BS 25999-1
Cdigos
Cdi
de
d Prticas
Pi
para Gesto
G de
d Continuidade
C i id d do
d
Negcio.
BS 25999-2
Especificao para Gesto de Continuidade do
Negcio. ( No esta sendo certificada ainda)

Professor: Conrado Frassini

cfrassini@uol.com.br

Sinopse da BS 25999-1

Gerenciamento do Programa de Continuidade de Negcios Papis e

Responsabilidade

Entendendo seu negcio e organizao no contexto do BCM

Avaliao
li
de
d risco
i
Identificando fatores crticos.

Determinando as opces do seu BCM

Mensurando para minimizar impactos com incidentes
Avaliando suas opes de estratgia do produto/servio e opes de continuidade para
diferentes elementos.

Desenvolvendo e Implementando o BC
Plano de gerenciamento de incidentes
Plano de continuidade de negcio

Carregando os exercicios do BC, manuteno, auto atendimento e auditoria.

Introduzindo o BCM na cultura na organizao.

Professor: Conrado Frassini

cfrassini@uol.com.br

15

Professor: Conrado Frassini

cfrassini@uol.com.br

16