ISO-IEC Nova Versão Atualizada 27002 PDF

Segurana da Informao
Aula 2: ISO 27002

Prof. Roberto Franciscatto
Especializao
em Gesto de
TI 01/2013
Free Powerpoint
Templates
Page 1
ISO 27002
O que a ISO 27002?
Cdigo de prtica para a gesto da segurana
da informao
A quem se aplica?
Para quem precisa trabalhar/administrar
segurana em uma organizao
Deveria ser um cdigo de conduta para qualquer
empresa !!!
Free Powerpoint Templates
Page 2
ISO 27002
Para que serve uma normatizao
Definir regras e instrumentos de controle para

assegurar a conformidade:
de um processo, produto ou servio
Page 3
ISO 27002
Objetivos da norma
Comunicao (fabricante/cliente)
Segurana (proteo)
Proteo do consumidor (qualidade de produtos)
Eliminao de barreiras tcnicas e comerciais
Page 4
ISO 27002
Como est dividida a famlia 27000
Page 5
ISO 27002
Estrutura da ISO 27002
Page 6
ISO 27002
Estrutura
da ISO
27002
Page 7
ISO 27002
Como est estruturada a ISO 27002
Captulo
Titulo
Nro. Sub-Captulos
Poltica de Segurana da Informao
Organizando a Segurana da Informao
Gesto de Ativos
Segurana em Recursos Humanos
Segurana Fsica e do Ambiente
10
Gesto de Operaes e Comunicaes
10
11
Controle de Acesso
12
Aquisio, Desenvolvimento e Manuteno

de SI
13
Gesto de Incidentes de SI
14
Gesto da Continuidade do Negcio
15
Conformidade
Page 8
ISO 27002
Estrutura da ISO 27002
Seo
Categoria
Objetivos
Controle
Diretrizes
Page 9
ISO 27002
Cap. 5 - Poltica de Segurana da Informao
5.1 Poltica de Segurana da Informao
5.1.1 Documento da Poltica de Segurana da Informao

(Como montar efetivamente)
5.1.2 Anlise crtica da Segurana da Informao
(Se basear na realidade de no na fico, ter noo do todo da

organizao)
Page 10
ISO 27002
Cap. 6 Organizando a Segurana da Informao
6.1 Orgazinao interna
(Gerenciar a segurana da informao dentro da organizao)
6.1.1 Comprometimento da direo com a SI

(Formular, analisar, criticar a PSI)
6.1.2 Coordenao da SI
(Diferentes partes da Organizao, com funes e papis
relevantes)
6.1.3 Atribuio de Responsabilidades para a SI
(quem responsvel por o que, dentro da empresa)
Page 11
ISO 27002
6.1.4 Processo de Autorizao para os recursos de
processamento da informao
(BYOD, controles necessrios devem ser identificados e implementados)
6.1.5 Acordos de Confidencialidade
(O que precisa ser protegido? Tempo de durao do acordo. Aes para

violao de acordo)
6.1.6 Contato com autoridades
(Bombeiros, Provedor de Acesso a Internet, Empresa de Segurana)
Page 12
ISO 27002
6.2 Partes Externas
(Manter a segurana da informao, dos recursos que so acessados,
processados, comunicados ou gerenciados por parte externas)
6.2.1 Identificao dos riscos relacionados com partes

externas
(Que tipo de acesso? Fsico, Lgico? Acesso Remoto? Acesso ao SGBD?)
6.2.2 Identificando a segurana da Informao quando

tratando com clientes
(Cliente tem acesso a que informao da empresa, de que forma?)
Page 13
ISO 27002
Cap. 7 Gesto de Ativos
7.1 Responsabilidade pelos Ativos
(Ativos inventariados e um proprietrio responsvel)
7.1.1 Inventrio dos Ativos
(Software, Servios, Intangveis, Etiqueta, Papel?)
7.1.2 Proprietrio dos Ativos

7.1.3 Uso aceitvel dos Ativos
(regras para internet, uso de e-mail, uso de dispositivos mveis)
Page 14
ISO 27002
Cap. 7 Gesto de Ativos
7.2 Classificao da Informao
(indicar a necessidade, prioridades e nvel indicado de proteo)
7.2.1 Recomendaes para classificao
(valor, requisitos legais, sensibilidade e criticidade para a organizao)
7.2.2 Rtulos e Tratamento da Informao
(processamento seguro, armazenagem, transmisso, reclassificao e a

destruio)
Page 15
ISO 27002
Cap. 8 Segurana em Recursos Humanos
8.1 Antes da Contratao
(acordo de responsabilidade sobre a segurana, para funcionrios,

fornecedores e terceiros)
8.1.1 Papis e Responsabilidades
(papis e resposabilidades pela segurana da informao de funcionrios,

fornecedores e terceiros)
8.1.2 - Seleo
(verificaes do histrico do candidato tica, leis e regulamentaes)
8.1.3 Termos e Condies de Contratao
(confidencialidade, aes por desrespeitar os requisitos de segurana)
Page 16
ISO 27002
8.2 Durante a Contratao
(Funcionrios, fornecedores e terceiros esto cientes das ameaas,

com intuito de reduzir o erro humano)
8.2.1 Responsabilidades da Direo
(fazer aplicar a segurana da informao conforme as polticas e

procedimentos da organizao)
8.2.2 Conscientizao, educao e treinamento em

segurana da informao
(treinamento e atualizao sobre segurana da informao)
8.2.3 Processo Disciplinar
(processo disciplinar formal para funcionrios que cometeram violao da

segurana da informao)
Page 17
ISO 27002
8.3 Encerramento ou mudana da contratao
(devoluo de equipamentos, bloqueio de acesso, inutilizao de contas)
8.3.1 Encerramento das Atividades

(RH, TI, Direo, Empresas Terceirizadas)
8.3.2 Devoluo de Ativos
(Devoluo de equipamentos, documentos, software)
8.3.3 Retirada de direitos de acesso
(acesso lgico e fsico, chaves, cartes de identificao...)
Page 18
ISO 27002
Cap. 9 Segurana fsica e do ambiente
9.1 reas Seguras
(prevenir o acesso fsico no autorizado, danos e inteferncias)
9.1.1 Permetro de Segurana Fsica
(paredes, portes de entrada, balces de recepo com balconista)
9.1.2 Controle de entrada fsica
(entrada de pessoas autorizadas: registro de data e hora, visitantes

identificados, forma visvel de identificao a funcionrios)
9.1.3 Segurana em escritrios, salas e instalaes
(no deixar expostos a lista de funcionrios e guias telefnicos internos,

no expor a sala de processamento de dados, com letreiros, etc..)
Page 19
ISO 27002
9.1.4 Proteo contra ameaas externas e do meio
ambiente (proteo fsica contra incndios, enchentes, terremotos)
9.1.5 Trabalhando com reas seguras
(acesso por pessoas autorizadas, devidamente trancadas, sem a

possibilidade de utilizao de cameras, filmadoras, entre outros)
9.1.6 Acesso ao pblico, reas de entrega e de

carregamento (evitar acesso no autorizado)
Page 20
ISO 27002
9.2 Segurana de Equipamentos
(impedir perdas, danos, furto ou roubo ou comprometimento de ativos e

interrupo de atividades da organizao)
9.2.1 Instalao e Proteo do equipamento
(limites como comer, beber e fumar nas proximidades das instalaes)
9.2.2 Utilidades
(equipamentos protegidos contra falhas de energia eltrica: no-breaks,

geradores de energia)
9.2.3 Segurana do cabeamento
(cabeamento ptico (fibra), cabos de energia devidamento dispostos, para

evitar interferncias, documentao das conexes)
Page 21
ISO 27002
9.2.4 Manuteno dos Equipamentos
(manuteno correta para prover disponibilidade e integridade)
9.2.5 Segurana de equipamentos fora das dependncias

da organizao (seguro de equipamentos)
9.2.6 Reutilizao e alienao segura de equipamentos
(examinar mdias antes do descarte, dados removidos ou sobregravados)
9.2.7 Remoo de Propriedade
(equipamentos, informaes ou software no sejam retirados sem prvia

autorizao)
Page 22
ISO 27002
Cap. 10 Gerenciamento das operaes e comunicaes
10.1 Procedimentos e responsabilidades operacionais
(operao segura e correta dos recursos de processamento da informao)
10.1.1 Documentao dos procedimentos de operao
(backup, incio e fim de tarefas, contatos de suporte, procedimento para

reincio e recuperao em caso de falha no sistema)
10.1.2 Gesto de Mudanas
(modificaes nos recursos de processamento sejam controladas)
10.1.3 Segregao de funes
(til e importante. Para pequenas empresas controles especficos, como

por exemplo o monitoramento)
10.1.4 Separao dos recursos de desenvolvimento, teste

e de produo
(separar para reduzir o risco
acessos ouTemplates
modificaes no autorizadas)
FreedePowerpoint
Page 23
ISO 27002
10.2 Gerenciamento de servios terceirizados
10.2.1 Entrega de Servios

10.2.2 Monitoramento e anlise crtica de servios terceirizados
10.2.3 Gerenciamento de mudanas para servios terceirizados
10.3 Planejamento e aceitao dos Sistemas

10.3.1 Gesto de capacidade
10.3.2 Aceitao de Sistemas
10.4 Proteo contra cdigos maliciosos e cdigos mveis

10.4.1 Controle contra cdigos maliciosos
10.4.2 - Controle contra cdigos mveis
Page 24
ISO 27002
10.5 Cpias de Segurana
10.5.1 Cpias de Segurana das Informaes
10.6 Gerenciamento da Segurana em Redes

10.6.1 Controle de Redes
10.6.2 Segurana dos servios de Rede
10.7 Manuseio de Mdias

10.7.1
10.7.2
10.7.3
10.7.4
Gerenciamento de Mdias Removveis

Descarte de mdias
Procedimentos para tratamento da informao
Segurana da documentao dos sistemas
Page 25
ISO 27002
10.8 Troca de Informaes
10.8.1
10.8.2
10.8.3
10.8.4
10.8.5
Polticas e procedimentos para troca de informaes

Acordos para a troca de informaes
Mdias em trnsito
Mensagens eletrnicas
Sistemas de Informaes do Negcio
10.9 Servios de Comrcio Eletrnico

10.9.1 Comrcio Eletrnico
10.9.2 Transaes on-line
10.9.3 Informaes publicamente disponveis
Page 26
ISO 27002
10.10 Monitoramento
10.10.1
10.10.2
10.10.3
10.10.4
10.10.5
10.10.6
Registro de auditoria
Monitoramento do uso do sistema
Proteo das informaes dos registros (logs)
Registros (logs) de administrador e operador
Regsitros logs de falhas
Sincronizao dos relgios
Page 27
ISO 27002
Cap. 11 Controle de Acessos
11.1 Requisitos de negcio para controle de acesso
11.1.1 Poltica de controle de acesso
11.2 Gerenciamento de acesso do usurio

11.2.1
11.2.2
11.2.3
11.2.4
Registro de usurio
Gerenciamento de Privilgios
Gerenciamento de senha do usurio
Anlise crtica dos direitos de acesso do usurio
11.3 Responsabilidade dos usurios
11.3.1 Uso de senhas

11.3.2 Equipamento de usurio sem monitorao
11.3.3 Poltica de mesa limpa e tela limpa
Page 28
ISO 27002
Cap. 11 Controle de Acessos
11.4
11.5
11.6
11.7
Controle de Acesso a Rede

Controle de Acesso ao SO
Controle de Acesso aplicao e a Informao
Computao Mvel e Trabalho Remoto
Page 29
ISO 27002
Cap. 12 Aquisio, desenvolvimento e manuteno de
sistemas de informao
12.1 Requisitos de Segurana de sistemas de informao
12.2 Processamento correto das aplicaes
12.3 Controles Criptogrficos
12.4 Segurana dos arquivos do sistema
12.5 - Segurana em processos de desenvolvimento e de
suporte
12.6 Gesto de vulnerabilidades tcnicas
Page 30
ISO 27002
Cap. 13 Gesto de Incidentes de segurana da
Informao
13.1 Notificao de fragilidades e eventos de segurana
da informao
13.2 Gesto de Incidentes de Segurana da Informao e
melhorias
Page 31
ISO 27002
Cap. 14 Gesto da Continuidade do Negcio
14.1 Aspectos da Gesto da continuidade do negcio,
relativos a segurana da informao
Page 32
ISO 27002
Cap. 15 Conformidade
15.1 Conformidade com requisitos legais
15.2 Conformidade com normas e polticas de segurana
da informao e conformidade tcnica
15.3 Consideraes quanto a auditoria de sistemas de
informao
Page 33
ISO 27002
Referncias
http://www.iso27001security.com/html/iso27k_toolkit.html
ABNT NBR ISO/IEC 27002:2006.
Cdigo de Prtica para a Gesto da Segurana da Informao, 2006.
Page 34

ISO-IEC Nova Versão Atualizada 27002 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ISO-IEC Nova Versão Atualizada 27002 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Segurana da Informao

Aula 2: ISO 27002

Definir regras e instrumentos de controle para

Free Powerpoint Templates

Free Powerpoint Templates

Free Powerpoint Templates

Free Powerpoint Templates

Free Powerpoint Templates

Poltica de Segurana da Informao

Organizando a Segurana da Informao

Segurana em Recursos Humanos

Segurana Fsica e do Ambiente

Gesto de Operaes e Comunicaes

Aquisio, Desenvolvimento e Manuteno

Gesto da Continuidade do Negcio

Free Powerpoint Templates

Free Powerpoint Templates

5.1.1 Documento da Poltica de Segurana da Informao

5.1.2 Anlise crtica da Segurana da Informao

(Se basear na realidade de no na fico, ter noo do todo da

Free Powerpoint Templates

(Gerenciar a segurana da informao dentro da organizao)

6.1.1 Comprometimento da direo com a SI

6.1.3 Atribuio de Responsabilidades para a SI

(quem responsvel por o que, dentro da empresa)

Free Powerpoint Templates

6.1.5 Acordos de Confidencialidade

(O que precisa ser protegido? Tempo de durao do acordo. Aes para

6.1.6 Contato com autoridades

(Bombeiros, Provedor de Acesso a Internet, Empresa de Segurana)

Free Powerpoint Templates

6.2.1 Identificao dos riscos relacionados com partes

(Que tipo de acesso? Fsico, Lgico? Acesso Remoto? Acesso ao SGBD?)

6.2.2 Identificando a segurana da Informao quando

Free Powerpoint Templates

7.1.1 Inventrio dos Ativos

(Software, Servios, Intangveis, Etiqueta, Papel?)

7.1.2 Proprietrio dos Ativos

Free Powerpoint Templates

(indicar a necessidade, prioridades e nvel indicado de proteo)

7.2.1 Recomendaes para classificao

(valor, requisitos legais, sensibilidade e criticidade para a organizao)

7.2.2 Rtulos e Tratamento da Informao

(processamento seguro, armazenagem, transmisso, reclassificao e a

Free Powerpoint Templates

(acordo de responsabilidade sobre a segurana, para funcionrios,

8.1.1 Papis e Responsabilidades

(papis e resposabilidades pela segurana da informao de funcionrios,

(verificaes do histrico do candidato tica, leis e regulamentaes)

8.1.3 Termos e Condies de Contratao

(confidencialidade, aes por desrespeitar os requisitos de segurana)

Free Powerpoint Templates

(Funcionrios, fornecedores e terceiros esto cientes das ameaas,

8.2.1 Responsabilidades da Direo

(fazer aplicar a segurana da informao conforme as polticas e

8.2.2 Conscientizao, educao e treinamento em

8.2.3 Processo Disciplinar

(processo disciplinar formal para funcionrios que cometeram violao da

Free Powerpoint Templates

(devoluo de equipamentos, bloqueio de acesso, inutilizao de contas)

8.3.1 Encerramento das Atividades

8.3.2 Devoluo de Ativos

(Devoluo de equipamentos, documentos, software)