Normas Encontro USP Seguranca Computacional II V 1 02

11/11/2006
Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP
Alinhando
NBR-ISO/IEC 17799 e 27001 na
Administrao Pblica - USP
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
11/11/2006
Apresentao :
Introduo.
NBR ISO/IEC 27001 e 17799.
Proposta de Plano de Trabalho/Ao.
Referncias.
Con
fide
ncia
lida
de
Per
miti
r
e
dad
gri
e
t
n
I
de
ibilida
Dispon
7/11/2006
ibilizar
Dispon
ir
ing
str
e
R
Bom dia a todos,

Falarei sobre a Norma vigente e apresentarei uma proposta para implantao aqui na USP.
O assunto muito amplo, portanto Farei uma apresentao rpida da norma.
Vou procurar aterme mais ao plano de ao, e as questes que vocs apresentarem.
11/11/2006
Introduo:
Inicialmente devemos entender que informao
um dos ativo da empresa, e como ativo tem valor
e deve ser protegido.
Conhecimento nosso ativo
Nosso produto a transferncia deste
conhecimento.
Um professor que guarda suas pesquisas em seu
computador/laptop pessoal.
7/11/2006
Inicialmente devemos entender que informao um dos ativo da empresa, e como ativo tem valor e deve ser protegido.
Pessoas, seus conhecimentos e o que ela representa, tambm so ativos. Marca e Imagem tambm so ativos.
Aqui, na USP, o conhecimento nosso ativo, e o nosso produto a transferncia deste conhecimento. Parte na nossa
misso tambm e conhecer mais.
Um professor que guarda suas pesquisas em seu computador/laptop pessoal no nos dando a administrao, o mesmo que
ir nos culpar caso ocorra qualquer problema com esse equipamento.
11/11/2006
Introduo:
Problemas :
Uso Indevido de informao.
Uso indevido do computador como trampolim.
Uso indevido do computador como hospedeiro de
qualquer coisa.
Controle :
Quem controla trafego por ponto de acesso ?
Quem controla vulnerabilidade em computadores
cliente ?
Quem controla portas abertas nos computadores de
clientes ?
Quem controla softwares instalados nos clientes ?
7/11/2006
Problemas :
Uso Indevido de informao.
Uso indevido do computador como trampolim.
Uso indevido do computador como hospedeiro de qualquer coisa.
Controle :
Quem controla trafego por ponto de acesso ?
Quem controla vulnerabilidade em computadores cliente ?
Quem controla portas abertas nos computadores de clientes ?
Quem controla softwares instalados nos clientes ?
11/11/2006
Introduo:
Nossa Obrigao :
nossa obrigao fazer controle nos clientes ?
nossa responsabilidade as mquinas de cliente ?
Riscos :
Licenas e atualizaes.
Servios instalados em clientes.
7/11/2006
Nossa Obrigao :
nossa obrigao fazer controle nos clientes ?
nossa responsabilidade as mquinas de cliente ?
Riscos :
Licenas e atualizaes.
Servios instalados em clientes.
Por definio, o risco a ameaa de que um novo evento afete a habilidade da empresa em atingir seus objetivos e suas
estratgias de negcios. No h empresa prspera que no corra riscos. A expanso, bem como a manuteno de um
negcio, pressupe que os riscos existam e devam ser entendidos como parte integrante do negcio.
11/11/2006
Introduo:
Linha do Tempo da Norma
ISO /IEC 17799:2000 & ISO/IEC 27001:2005
Um breve histrico da evoluo da norma at chegar a ISO 27001:
1995: publicada a primeira verso da BS 7799-1
1998: publicada a primeira verso da BS 7799-2
1999: publicada uma reviso da BS 7799-1
2000: publicada a primeira verso da norma ISO/IEC 17799
2001: publicada a primeira verso da norma no Brasil, NBR
ISO/IEC 17799
2002: publicada reviso da norma BS 7799 parte 2
Agosto/2005: publicada a segunda verso da norma no Brasil,
Outubro/2005: publicada a norma ISO 27001 (ISO/IEC
27001:2005.
7/11/2006
Linha do Tempo da Norma

ISO /IEC 17799:2000 & ISO/IEC 27001:2005
Um breve histrico da evoluo da norma at chegar a ISO 27001:
- 1995: publicada a primeira verso da BS 7799-1 (BS 7799-1:1995 - Tecnologia da Informao - Cdigo de prtica para
gesto da segurana da informao)
- 1998: publicada a primeira verso da BS 7799-2 (BS 7799-2:1998 - Sistema de gesto da Segurana da Informao Especificaes e guia para uso)
- 1999: publicada uma reviso da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informao - Cdigo de prtica para gesto da
segurana da informao)
- 2000: publicada a primeira verso da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informao - Cdigo de
prtica para gesto da segurana da informao tambm referenciada como BS ISO/IEC 17799:2000)
- 2001: publicada a primeira verso da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da
Informao - Cdigo de prtica para gesto da segurana da informao)
- 2002: publicada reviso da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gesto da Segurana da Informao Especificaes e guia para uso).
- Agosto/2005: publicada a segunda verso da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005 - Tecnologia da
Informao - Cdigo de prtica para gesto da segurana da informao);
- Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 - Tecnologia da Informao - Tcnicas de segurana Sistema de gesto da Segurana da Informao - Requisitos).
11/11/2006
Introduo:
Relembrando a ABNT NBR ISO/IEC-17799 (Norma anterior)
Norma Anterior : NBR/ISO-17.799
Norma Atual : NBR/ISO-17.799-2005
A norma nacional de segurana de informao dividida nos 10

macros controles:
O novo padro agora contm 11 captulos principais renomeados e

reorganizados. Os novos captulos so:
Poltica de Segurana;
Polticas de Segurana
Segurana Organizacional;
Organizando a Segurana da Informao
Classificao e Controle dos Ativos da Informao;
Gerenciamento de ativos
Segurana em Pessoas;
Segurana dos Recursos Humanos
Segurana Fsica e do Ambiente;
Segurana Fsica e Ambiental
Gerenciamento de Operaes e Comunicaes;
Gerenciamento das Comunicaes e Operaes
Controle de Acesso;
Controle de Acessos
Desenvolvimento da Segurana de Sistemas;
Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao

Gerenciamento de Incidentes na Segurana da Informao
Gesto da Continuidade do Negcio;
Gerenciamento da Continuidade do Negcio
Conformidade.
Conformidade.
7/11/2006
Criado dois focos novos no escopo da ao:

Desenvolvimento de Segurana de sistemas foi ampliado com:
Aquisio e Manuteno
Introduzido o Gerenciamento de Incidente
No restante houveram melhorias no geral e ampliao dos focos de atuao.
11/11/2006
NBR ISO/IEC 27001 e 17799 :

Norma ABNT NBR ISO/IEC-27001-2005
A nova famlia da srie ISO IEC 27000-27009 est relacionada com
os requisitos mandatrios da ISO/IEC 27001:2005
definio do escopo do SGSI,
a avaliao de riscos,
a identificao de ativos e
a eficcia dos controles implementados.
(Mdulo Security - http://www.modulo.com.br/checkuptool/artigo_15.htm - acesso 01/11/2006)
Esta Norma promove a adoo de uma abordagem de processo

para estabelecer e implementar, operar, monitorar, analisar
criticamente, manter e melhorar o SGSI de uma organizao.
A abordagem de processo para a gesto da segurana da
informao apresentada nesta norma encoraja que seus usurios
enfatizem a importncia de:
7/11/2006
10
A nova famlia da srie ISO IEC 27000-27009 est relacionada com os requisitos mandatrios da ISO/IEC 27001:2005, como,
por exemplo, a definio do escopo do Sistema de Gesto da Segurana da Informao, a avaliao de riscos, a
identificao
de
ativos
e
a
eficcia
dos
controles
implementados.
(Mdulo
Security
http://www.modulo.com.br/checkuptool/artigo_15.htm - acesso 01/11/2006)
Esta Norma promove a adoo de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar
criticamente, manter e melhorar o SGSI de uma organizao.
A abordagem de processo para a gesto da segurana da informao apresentada nesta norma encoraja que seus usurios
10
11/11/2006
NBR ISO/IEC 27001 e 17799

A norma encoraja que seus usurios enfatizem a
importncia de:
a-) entendimento dos requisitos de segurana da
informao de uma organizao e da necessidade de
estabelecer uma poltica e objetivos para a segurana da
informao;
b-) implantao e operao de controles para gerenciar
os riscos de segurana da informao de uma organizao
no contexto dos riscos de negcio globais da organizao;
c-) monitorao e analise crtica do desempenho e
eficcia do SGSI; e
d-) melhoria contnua baseada em medies objetivas.
7/11/2006
11
A abordagem de processo para a gesto da segurana da informao apresentada nesta norma encoraja que seus usurios
a-) entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de estabelecer uma
poltica e objetivos para a segurana da informao;
b-) implantao e operao de controles para gerenciar os riscos de segurana da informao de uma organizao no
contexto dos riscos de negcio globais da organizao;
c-) monitorao e analise crtica do desempenho e eficcia do SGSI; e
d-) melhoria contnua baseada em medies objetivas.
SGSI
O SGSI projetado para assegurar a seleo de controles de segurana adequados e proporcionados
para proteger os ativos de informao e propiciar confiana s partes interessadas.
11
11/11/2006

"Plan-Do-Check-Act"(PDCA)
7/11/2006
12
Plan Planejar Estabelecer o SGSI Estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes
para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e
objetivos globais de uma organizao.
Do Fazer Implementar e Operar o SGSI - Implementar e operar a poltica, controles, processos e procedimentos do
SGSI.
Check Checar/Monitorar/Analisar Criticamente Avaliar e, quando aplicvel, medir o desempenho de um processo
frente poltica, objetivos e experincias prtica do SGSI e apresentar os resultados para a analise crtica pela direo.
Act Agir Manter e melhorar o SGSI Executar as aes corretivas e preventivas, com base nos resultados da auditoria
interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do
SGSI.
12
11/11/2006

Requisitos Gerais
4.2 - Estabelecendo e Gerenciando o SGSI.
4.2.1 - Estabelecer o SGSI.

4.2.2 - Implementar e operar o SGSI.
4.2.3 - Monitorar e analisar criticamente o SGSI.
4.2.4 - Manter e melhorar o SGSI.
4.3.1 A documentao de SGSI deve incluir. (disponibilize, publique, torne pblico)
4.3.2 Controle de documentos. (disponibilize, publique, torne pblico)
4.3.3 Controle de registros
5 Responsabilidade da direo.
5.1 Comprometimento da direo
5.2 Gesto de Risco
5.2.1 Proviso de Recursos.
5.2.2 Treinamento, conscientizao e competncia
6 Auditorias internas.
6.1 Questes a serem auditadas.
7 Analise crtica do SGSI.

7.1 Analisar com periodicidade, ao menos uma vez por ano.
7.2 - Entradas para analise crtica.
7.3 Sadas da analise crtica.
8 Melhoria do SGSI.
8.1 Melhoria continuada.
8.2 Ao corretiva.
8.3 Ao preventiva.
7/11/2006
13
Requisitos gerais
4.2 - Estabelecendo e Gerenciando o SGSI.
4.2.1 - Estabelecer o SGSI.
a-) Definir um escopo.
b-) Definir uma poltica.
c-) Definir a abordagem de analise/avaliao de riscos da organizao.
(ex. veja [ISO/IEC 13335-3])
d-) Identificar os Riscos.
e-) Identificar e avaliar os riscos.
f-) Identificar e avaliar as opes para o tratamento de riscos.
g-) Selecionar objetos de controle e controles para o tratamento de riscos.
h-) Obter aprovao da direo dos riscos residuais propostos.
i-) Obter autorizao da direo para implantar e operar o SGSI.
i-) Preparar uma declarao de aplicabilidade.
4.2.2 - Implementar e operar o SGSI.
a-) Formular um plano de tratamento de risco.
b-) Implementar o plano de tratamento de risco.
c-) Implementar controles selecionados.
d-) Definir como medir a eficcia dos controles.
e-) Implementar programas de conscientizao e treinamento. (Brigada).
f-) Gerenciar as operaes do SGSI.
g-) Gerenciar os recursos do SGSI.
h-) Implementa procedimentos e outros controles.
4.2.3 - Monitorar e analisar criticamente o SGSI.
a-) Executar procedimentos de monitorao.
b-) Analisar analises crticas.
Uma rede to
segura quanto a menos segura das mquinas que a ela se conectar.
c-) Implementar controles selecionados.
d-) Analisar criticamente as analises/avaliaes de riscos.
13
11/11/2006

Anexo A - Tabela 1
A-5 Polticas de Segurana
A-5.1 Polticas de Segurana da Informao
A-5.1.1 Documento
A-5.1.2 Analise crtica das polticas
A-6 Organizando a segurana da informao

A-6.1 Infra-estrutura de segurana
A-6.1.1
A-6.1.2
A-6.1.3
A-6.1.4
A-6.1.5
A-6.1.6
A-6.1.7
A-6.1.8
Comprometimento da Direo com a segurana

Coordenao do SGSI
Atribuies de responsabilidades para a segurana da informao
Processos de autorizao.
Acordos de confidencialidade.
Contrato com autoridades
Contrato com grupos especiais.
Analise critica independente
A-6.2 Partes externas

A-6.2.1 Identificao dos riscos relacionados com partes externas.
A-6.2.2 Identificando a Seg.Info. quando tratando com os clientes.
A-6.2.3 Segurana nos acordos com terceiros
7/11/2006
14
Anexo A
Tabela 1
A-5 Polticas de Segurana
A-5.1 Polticas de Segurana da Informao
A-5.1.1 Documento
Gerar um documento com as polticas, submetendo a aprovao pela diretoria e divulgado todos.
A-5.1.2 Analise crtica das polticas
Reveja periodicamente estas polticas refazendo-as quando necessrio.
A-6 Organizando a segurana da informao
A-6.1 Infra-estrutura de segurana
A-6.1.1 Comprometimento da Direo com a segurana
A direo deve apoiar ativamente as polticas adotadas.
A-6.1.2 Coordenao do SGSI
Mantenha um grupo interdisciplinar na elaborao e manuteno do SGSI
A-6.1.3 Atribuies de responsabilidades para a segurana da informao
Definir com clareza as responsabilidade.
A-6.1.4 Processos de autorizao.
Ter um processo claro, e documentado sobre a gesto da segurana.
A-6.1.5 Acordos de confidencialidade.
Ter documentado e divulgado os acordos de confidencialidade.
A-6.1.6 Contrato com autoridades
Contrato apropriados com autoridades relevantes devem ser mantidos. (certificadoras, auditoras)
A-6.1.7 Contrato com grupos especiais.
Contrato apropriados com grupos de interesses especiais ou outros fruns ou associaes profissionais.
A-6.1.8 Analise critica independente
O enfoque da organizao para gerenciar a segurana da informao e a sua implementao. (
Controles, Objetivos dos controles, Polticas, Processos, procedimentos, etc...)

A-6.2 Partes externas
14
11/11/2006

Anexo A - Tabela 1 (continuao)
A-7 Gesto de Ativos
A-7.1 Responsabilidade pelos ativos
A-7.2 Classificao da Informao
A-8 Segurana em recursos humanos
A-8.1 Antes da contratao
A-8.2 Durante a contratao
A-8.3 Encerramento ou mudana de contratao
A-9 Segurana Fsica do Ambiente
A-9.1 reas Seguras
A-9.2 Segurana dos Equipamentos
7/11/2006
15
Anexo A
Tabela 1
...........
A-7 Gesto de Ativos
A-7.1 Responsabilidade pelos ativos
A-7.2 Classificao da Informao
A-8 Segurana em recursos humanos
A-8.1 Antes da contratao
A-8.2 Durante a contratao
A-8.3 Encerramento ou mudana de contratao
A-9 Segurana Fsica do Ambiente
A-9.1 reas Seguras
A-9.2 Segurana dos Equipamentos
15
11/11/2006

A-10 Gerenciamento das Operaes e comunicaes
A-10.1 Procedimentos e Responsabilidades Operacionais

A-10-2 Gerenciamento de Servios Terceirizados
A-10.3 Planejamento e aceitao dos Sistemas
A-10.4 Proteo contra Cdigos Maliciosos e Cdigos mveis
A-10.5 Cpias de Segurana
A-10.6 Ger. Da Segurana da Rede
A-10.7 Manuseio de mdias
A-10.8 Troca de informaes
A-10.9 Servios de Comercio Eletrnico
A-10.10 Monitoramento
A-11 Controles de acessos
7/11/2006
A-11.1 Requisitos de negcio para controle de acesso

A-11.2 Gerenc.de Acessos de Usurio
A-11.3 Responsabilidades dos Usurios
A-11.4 Controle de acessos a rede
A-11.5 Controle de acesso ao Sistema Operacional
A-11.6 Controle de acesso aplicativos e informao
A-11.7 Computao Mvel e Trab.Remoto
16
Anexo A
Tabela 1
..................
A-10 Gerenciamento das Operaes e comunicaes
A-10.1 Procedimentos e Responsabilidades Operacionais
A-10-2 Gerenciamento de Servios Terceirizados
A-10.3 Planejamento e aceitao dos Sistemas
A-10.4 Proteo contra Cdigos Maliciosos e Cdigos mveis
A-10.5 Cpias de Segurana
A-10.6 Ger. Da Segurana da Rede
A-10.7 Manuseio de mdias
A-10.8 Troca de informaes
A-10.9 Servios de Comercio Eletrnico
A-10.10 Monitoramento
A-11 Controles de acessos
A-11.1 Requisitos de negcio para controle de acesso
A-11.2 Gerenc.de Acessos de Usurio
A-11.3 Responsabilidades dos Usurios
A-11.4 Controle de acessos a rede
A-11.5 Controle de acesso ao Sistema Operacional
A-11.6 Controle de acesso aplicativos e informao
A-11.7 Computao Mvel e Trab.Remoto
16
11/11/2006

A-12 Aquisio Desenvolvimento e Manuteno de Sistemas de Informao.
A-12.1 Requisitos de Seguranas de Sistemas de Informao

A-12.2 Processamento Correto de Aplicaes
A-12.3 Controles Criptogrficos
A-12.4 Segurana dos Arquivos do Sistema
A-12.5 Segurana em processos de Desenvolvimento e de Suporte
A-12.6 Gesto de Vulnerabilidades Tcnicas
A-13 Gesto de Incidente de Segurana da Informao.

A-13.1 Notificao de Fragilidade e eventos de segurana da Informao
A-13.2 Gesto de Incidente de Segurana da Informao e Melhorias
A-14 Gesto da Continuidade do Negcio.

A-14.1 Gesto da Continuidade do Negcio, Relativos segurana da Informao
A-15 Conformidade
A-15.1 Conformidade com Requisitos Legais.
A-15.2 Conformidade com Normas, Polticas do SGSI e Conformidade Tcnica
A-15.3 Conformidade quanto Auditoria de Sistemas de Informao
7/11/2006
17
Anexo A
Tabela 1
.....................
A-12 Aquisio Desenvolvimento e Manuteno de Sistemas de Informao.
A-12.1 Requisitos de Seguranas de Sistemas de Informao
A-12.2 Processamento Correto de Aplicaes
A-12.3 Controles Criptogrficos
A-12.4 Segurana dos Arquivos do Sistema
A-12.5 Segurana em processos de Desenvolvimento e de Suporte
A-12.6 Gesto de Vulnerabilidades Tcnicas
A-13 Gesto de Incidente de Segurana da Informao.
A-13.1 Notificao de Fragilidade e eventos de segurana da Informao
A-13.2 Gesto de Incidente de Segurana da Informao e Melhorias
-14 Gesto da Continuidade do Negcio.
A-14.1 Gesto da Continuidade do Negcio, Relativos segurana da Informao
A-15 Conformidade
A-15.1 Conformidade com Requisitos Legais.
A-15.2 Conformidade com Normas, Polticas do SGSI e Conformidade Tcnica
A-15.3 Conformidade quanto Auditoria de Sistemas de Informao
17
11/11/2006
Defesas em Rede:
Anterior:
Segurana por zona em trs camadas, ISSA Journal, abril 2006

7/11/2006
18
18
11/11/2006
Defesas em Rede:
Sugerida Atualmente:
Nova Arquitetura de segurana, usurios com acesso por rede ao Virtual Data Center. ISSA Journal, abril
7/11/2006
19
19
11/11/2006
Proposta de Plano de Trabalho/Ao

Proposta de Trabalho Mapa Conceitual e Segurana da Informao
Ajuste do mapa pela NBR ISO/IEC-17799-2005 e NBR ISO/IEC-27001-2006
Mapa conceitual de segurana (reduzido).

7/11/2006
20
Mostrar como foi a construo do mapa.

Do Centro para fora.
Mostrar que ele maior que o apresentado,
Mostrar como funciona,
Ficar visvel
Colorir os ns, identificando etapas, implantado, planejado, etapas fases.
20
11/11/2006
Proposta de Plano de Trabalho/Ao

Planejamento e Aes :
o Mapear a rea de atuao:
o Levantamento completo do SGSI.
o Planejar Etapas de implantao:

o Seguimentar o Mapa de Atuao, No ser mais realista que o
Rei.
o Criao da Brigada de Segurana da Informao:

o Pulverizar e Conscientizar as prticas de segurana da
Informao.
o Divulgar.
o Documentos padro de divulgao e locais de avisos.
o Treinar.
o Planejar os treinamentos para todos os nveis e todos os
envolvidos, Doscentes, Discentes, Funcionrios.
7/11/2006
21
21
11/11/2006
Obrigado
Referencia :
NBRISO/IEC27001 de 03/2006
NBRISO/IEC17799 de 2001
ISSA Journal (Information System Security Association)
Links sobre segurana Pr-Ativa:

Ponemon ONG sobre segurana da informao. http://www.ponemon.org/
Modulo Security. http://www.modulo.com.br
Sopho. http://www.sophos.com/
Linux Security. http://www.linuxsecurity.com/
Organisation for Economic Co-operation and Development
http://www.oecd.org/home/0,2987,en_2649_201185_1_1_1_1_1,00.html
Csar Augusto Asciutti

Agncia USP de Inovao
asciutti@usp.br
Fone 3091-2933
Skype kidasc - MSN kidasc@hotmail.com
7/11/2006
22
22

Normas Encontro USP Seguranca Computacional II V 1 02

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Normas Encontro USP Seguranca Computacional II V 1 02

Enviado por

Direitos autorais:

Formatos disponíveis

11/11/2006

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Bom dia a todos,

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Linha do Tempo da Norma

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Norma Atual : NBR/ISO-17.799-2005

A norma nacional de segurana de informao dividida nos 10

O novo padro agora contm 11 captulos principais renomeados e

Organizando a Segurana da Informao

Classificao e Controle dos Ativos da Informao;

Segurana dos Recursos Humanos

Segurana Fsica e do Ambiente;

Segurana Fsica e Ambiental

Gerenciamento de Operaes e Comunicaes;

Gerenciamento das Comunicaes e Operaes

Desenvolvimento da Segurana de Sistemas;

Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao

Gesto da Continuidade do Negcio;

Gerenciamento da Continuidade do Negcio

Criado dois focos novos no escopo da ao:

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

NBR ISO/IEC 27001 e 17799 :

Esta Norma promove a adoo de uma abordagem de processo

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

NBR ISO/IEC 27001 e 17799

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

NBR ISO/IEC 27001 e 17799

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

NBR ISO/IEC 27001 e 17799

4.2.1 - Estabelecer o SGSI.

7 Analise crtica do SGSI.

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

NBR ISO/IEC 27001 e 17799

A-6 Organizando a segurana da informao

Comprometimento da Direo com a segurana

A-6.2 Partes externas

Controles, Objetivos dos controles, Polticas, Processos, procedimentos, etc...)

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

NBR ISO/IEC 27001 e 17799

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

NBR ISO/IEC 27001 e 17799

A-10.1 Procedimentos e Responsabilidades Operacionais

A-11 Controles de acessos

A-11.1 Requisitos de negcio para controle de acesso

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

NBR ISO/IEC 27001 e 17799

A-12.1 Requisitos de Seguranas de Sistemas de Informao

A-13 Gesto de Incidente de Segurana da Informao.

A-14 Gesto da Continuidade do Negcio.

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Segurana por zona em trs camadas, ISSA Journal, abril 2006

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Proposta de Plano de Trabalho/Ao

Mapa conceitual de segurana (reduzido).

Mostrar como foi a construo do mapa.

Alinhando NBR-ISO/IEC 17799 e 27001 na Administrao Pblica - USP

Proposta de Plano de Trabalho/Ao