Escolar Documentos
Profissional Documentos
Cultura Documentos
G4-ISO 27000 Final PDF
G4-ISO 27000 Final PDF
Resumo
Sumrio
1.
Introduo ................................................................................................................................ 4
1.1.
1.2.
2.
Segurana da Informao......................................................................................................... 5
2.3.
2.3.1.
Controlo de Acesso........................................................................................................... 6
2.3.2.
Deteco de Intrusos........................................................................................................ 6
2.3.3.
Criptografia....................................................................................................................... 7
2.3.4.
2.3.5.
2.3.6.
3.
3.1.
3.1.1.
3.2.
4.
4.1.
Apresentao ..................................................................................................................... 12
4.2.
Objectivos........................................................................................................................... 12
4.3.
Aplicao ............................................................................................................................ 13
5.
6.
7.
8.
9.
Certificao............................................................................................................................. 22
9.1.
9.2.
9.3.
9.4.
10.
Concluses.......................................................................................................................... 24
11.
1. Introduo
O objectivo deste trabalho perceber mais profundamente o conceito de Segurana de
Informao. Neste contexto pareceu-nos interessante trabalhar com a temtica das Normas
ISO/IEC 27000 e ISO/IEC 27001 que consistem em definir um propsito para o desenvolvimento
de um Sistema de Gesto de Segurana da Informao (SGSI) nas Organizaes, o que
importante tendo em conta a quantidade de informao que actualmente produzida e
armazenada nas organizaes. Um SGSI envolve todas as actividades de gesto e as estruturas
de suporte gesto relevantes para a segurana da informao.
1.1.
Apresentao do Tema
2. Segurana da Informao
2.1 Em que consiste a Segurana da Informao?
A informao encontra-se nos activos que envolvem a organizao e que tm valor para
o seu negcio, pelo que, a proteco da informao deve ser feita tendo em conta estes activos.
Os activos podem ser fsicos (arquivos, bibliotecas, cofres que contm informao relevante),
tecnolgicos (recursos informticos como sistemas de informao, e-mails, intranets) e
humanos (pessoas que fazem parte das actividades das organizaes).
A Segurana da Informao consiste em garantir que a informao existente em
qualquer formato est protegida contra o acesso por pessoas no autorizadas
(confidencialidade), est sempre disponvel quando necessria (disponibilidade), confivel
(integridade) e autntica (autenticidade). Beal (2005, p.71) define a Segurana da Informao
como o processo de proteger a informao das ameaas para garantir a sua integridade,
disponibilidade e confidencialidade. Estes conceitos so vistos como suporte para a Segurana
da Informao.
Para garantir a segurana das informaes deve ser feita uma Anlise de Risco que
identifique todos os riscos que ameacem as informaes, apontando solues que eliminem,
minimizem ou transfiram os riscos. As ameaas so aces de origem humana, que quando so
exploradas podem gerar vulnerabilidade e produzir ataques, que por sua vez, causam incidentes
que comprometem as informaes, provocando perda de confidencialidade, disponibilidade e
integridade.
As ameaas so todas as situaes que colocam em causa a Segurana da Informao.
Uma ameaa pode ser qualquer aco, acontecimento ou entidade que age sobre um activo ou
pessoa, atravs de uma vulnerabilidade e consequentemente gera um determinado impacto. As
ameaas actuam sobre os activos e so classificadas com as mesmas categorias: ameaas fsicas
(normalmente decorrentes de fenmenos naturais), tecnolgicas (normalmente so ataques
propositados causados por agentes humanos como hackers, invasores, criadores e
disseminadores de vrus, mas tambm por defeitos tcnicos, falhas de hardware e software) e
humanas (so consideradas as mais perigosas, podendo ser casos de roubos e fraudes causados
por ladres e espies).
2.3.
2.3.3. Criptografia
A criptografia a arte de codificao que permite a transformao reversvel da
informao de forma a torn-la inteligvel a terceiros. Esta utiliza determinados algoritmos numa
chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma
sequncia de dados criptografados.
3.1.
10
3.2.
A abordagem de processos
11
Apresentao
Esta norma foi publicada pelo ISO e pelo IEC em Outubro de 2005. Foi elaborada para
especificar os requisitos para o estabelecimento, implementao, operacionalizao,
monitorizao, reviso, manuteno e melhoria de um SGSI, dentro do contexto dos riscos de
negcio de uma organizao.
A certificao no um requisito obrigatrio da norma ISO/IEC 27001, uma deciso da
organizao. No entanto, dezoito meses aps a sua publicao mais de 2000 organizaes de
mais de 50 pases foram certificadas e o crescimento nesta rea tem vindo a aumentar.
Antes da implementao desta norma num sistema convm pensar em algumas questes:
Quanto custar uma falha que implique uma perda efectiva de informao?
Quais as consequncias da utilizao da informao por pessoas que dela possam fazer
uso indevido e no autorizado?
Qual o custo da diminuio da produtividade por erros, falhas de sistema ou utilizao
de informao errada?
Qual o peso da ocorrncia de incidentes sobre as informaes de uma organizao?
Em que se deve fundamentar uma organizao para fazer uma avaliao dos riscos?
Quais as principais reas que uma organizao tem de considerar a fim de alcanar uma
implementao de SGSI de sucesso?
4.2.
Objectivos
Esta norma foi estabelecida com o mbito de ser utilizada em conjunto com a ISO/IEC
17799 e pretende assegurar a seleco de controlo de segurana adequado e proporcional.
As organizaes que optam pela certificao sentem a necessidade de melhorar a
segurana das suas informaes devido a uma utilizao cada vez maior de TI e percepo do
aumento do risco.
A implementao da norma 27001 faz com que as organizaes devam manter o seu
foco nas necessidades do negcio e considerar a segurana da informao como parte
integrante dos objectivos de negcio para realizar a gesto dos riscos.
A norma ISO/IEC 27001 universal para todos os tipos de organizaes (comerciais,
governamentais, com ou sem fins lucrativos, entre outras) e especifica os requisitos para a
implementao de controlos de segurana personalizados consoante as necessidades de uma
organizao.
12
4.3.
Aplicao
13
PLAN Estabelecer
o SGSI
Requisitos e expectativas
da Segurana da
Informao
Do Implementar
e Operar o
SGSI
Act - Manter
e Optimizar
o SGSI
Check Monitorizar
e Rever o
SGSI
1 - O Modelo PDCA
14
Sistema de Gesto da
Segurana da Informao
gerido
A Gesto dos riscos um dos aspectos chave da norma ISO/IEC 27001, uma avaliao
dos riscos uma das exigncias desta norma. Como resultado da avaliao de riscos, deve ser
feita uma lista dos riscos identificados, classificados em ordem de gravidade para
posteriormente serem tomadas medidas.
O processo de gesto dos riscos existe devido ao constante surgimento de novas
ameaas aptas a explorar as vulnerabilidades dos activos da informao, o que exige que se
tomem algumas medidas de preveno.
Os resultados da anlise dos riscos devero ajudar a direccionar e determinar quais as
aces de controlo mais apropriadas para a gesto desses riscos.
A avaliao dos riscos deve ser feita tendo em conta uma anlise de custo-benefcio, para
revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa
probabilidade de ocorrer e o seu custo de tratamento elevado, no compensa essa tomada de
deciso.
15
Aps o processo de anlise e avaliao dos riscos, existem vrias opes para o seu
tratamento:
Estas medidas so definidas pela norma ISO/IEC 27002, que d suporte ao desenvolvimento de
planos de segurana e orienta de melhor forma a Gesto da Segurana da Informao.
16
A norma ISO 27002 a partir de Julho de 2007 o novo nome da norma ISO 17799. Esta
norma um guia de boas prticas que descreve os objectivos de controlo e os controlos
recomendados para a Segurana da Informao. A norma ISO 27001 contm alguns anexos
que resumem alguns destes controlos.
A norma ISO 27004 especifica mtricas e tcnicas de medio aplicveis para determinar a
eficcia do SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a
Segurana da Informao. Estas mtricas so usadas principalmente para medir os
componentes da fase CHECK do ciclo PDCA.
A norma ISO 27006 especifica requisitos e fornece orientaes para os organismos que
prestem servios de auditoria e certificao de um SGSI.
17
Japo
Reino Unido
ndia
Taiwan
China
Alemanha
Repblica Checa
Coreia
Estados Unidos da Amrica
Itlia
Espanha
Hungria
Malsia
Polnia
Tailndia
Grcia
Irlanda
ustria
Turquia
Frana
Hong Kong
Austrlia
Singapura
Crocia
Eslovnia
Mxico
Eslovquia
Brasil
4152
573
546
461
393
228
112
107
105
82
72
71
66
61
59
50
48
42
35
34
32
30
29
27
26
25
25
24
Holanda
Arbia Saudita
Emirados rabes Unidos
Bulgria
Iro
Portugal
Argentina
Filipinas
Indonsia
Paquisto
Colmbia
Federao Russa
Vietname
Islndia
Kuwait
Canad
Noruega
Sucia
Sua
Bahrain
Peru
Chile
Egipto
Om
Qatar
Sri Lanka
frica do Sul
Repblica dominicana
Marrocos
24
24
19
18
18
18
17
16
15
15
14
14
14
13
11
10
10
10
9
8
7
5
5
5
5
5
5
4
4
18
Blgica
Gibraltar
Litunia
Macau
Albnia
Bsnia Herzegovina
Chipre
Equador
Nova Jrsia
Cazaquisto
Luxemburgo
Macednia
Malta
Mauritnia
Ucrnia
Armnia
Bangladesh
Bielorrssia
Bolvia
Dinamarca
Estnia
Quirguisto
Lbano
Moldvia
Nova Zelndia
Sudo
Uruguai
Imen
Total
3
3
3
3
3
2
2
2
2
2
2
2
2
2
2
1
1
1
1
1
1
1
1
1
1
1
1
1
7940
Organismos de Certificao
19
Avaliao Escrita e Oral (esta ltima aplicvel apenas aos graus Auditor Coordenador e
Auditor).
SGS ICS
Entidade Certificadora que pretende formar Auditores experientes e qualificados para cada
sector de atividade, o reconhecimento em Portugal e no mundo, uma equipa orientada para
acompanhar as organizaes nos seus processos de Certificao, satisfao do cliente e melhoria
contnua.
A SGS ajuda as organizaes a desenvolver polticas de segurana das informaes e a fazer a
gesto de riscos por meio de sistemas e normas como a ISO 27001.
DNV - Det Norske Veritas
uma fundao independente que tem como principal competncia identificar, avaliar e
aconselhar as organizaes para a gesto de risco, sendo o seu foco a segurana e a
responsabilidade de melhorar o desempenho das organizaes.
Esta entidade utiliza a norma ISO 27001 que o padro de segurana internacional formal
contra a qual as organizaes podem procurar a certificao independente do seu SGSI. Ele
especifica os requisitos para estabelecer, implementar, operar, monitorizar, rever, manter e
melhorar um SGSI, utilizando uma abordagem de melhoria contnua.
20
Nome da Organizao
Nmero da
Certificao
83889CC2-2010-AISIBE-UKAS
ARENA MEDIA
Caixa Econmica de Cabo Verde
Departamento de Jogos da Santa Casa
da Misericrdia de Lisboa (DJSCML)
ENAME S.A.
HAVAS SPORT & ENTERTAINMENT
INSTITUTO DE INFORMTICA, I.P.
INTEGRITY S.A.
LATTITUDE
Maksen Consulting, S.A.
MEDIA CONTACTS
MOBEXT
MPG
ONE TO ONE
Ponto.C Desenvolvimento de Sistemas
de Informao, Lda.
Portugalmail SA
TV Cabo Portugal
VORTAL COMRCIO ELECTRNICO
CONSULTADORIA E MULTIMEDIA SA
ZON TV CABO PORTUGAL, SA
Entidade Certificadora
DNV
Bureau Veritas Certiifcation
ISO/IEC 27001:2005
ISO/IEC 27001:2005
ISO/IEC 27001:2005
ISO/IEC 27001:2005
ISO/IEC 27001:2005
ISO/IEC 27001:2005
ISO/IEC 27001:2005
ISO/IEC 27001:2005
ISO/IEC 27001:2005
DNV
ISO/IEC 27001:2005
DNV
ISO/IEC 27001:2005
DNV
ISO/IEC 27001:2005
ISO/IEC 27001:2005
12/86073
202194
IS 515264
ISO/IEC 27001:2005
ISO/IEC 27001:2005
ISO/IEC 27001:2005
202194
ISO/IEC 27001:2005
IS 524281
GB11/82769
83889CC6-2010-AISIBE-UKAS
3896769
GB12/85456
83889CC3-2010-AISIBE-UKAS
PT001307
83889CC9-2010-AISIBE-UKAS
83889CC10-2010-AISIBE-UKAS
83889CC13-2010-AISIBE-UKAS
83889CC8-2010-AISIBE-UKAS
GB11/83230
21
Norma de
Certificao
ISO/IEC 27001:2005
9. Certificao
9.1.
O que a certificao?
9.2.
9.3.
9.4.
22
23
10.Concluses
Com a realizao deste trabalho percebemos quais os mecanismos de controlo s
ameaas, incidindo sobre o controlo de acesso, a deteco de intrusos, a criptografia, a
assinatura digital, a proteco de dados armazenados e a recuperao contra desastres.
O estudo das normas ISO 27000 e 27001 consiste em perceber os pressupostos
relacionados com a Segurana da Informao. Esta temtica actualmente tem bastante
importncia, uma vez que se fala muito em ataques de hackers e crackers contra plataformas
digitais, tentando aceder a informaes confidenciais.
A informao um bem com bastante valor para as organizaes e necessita de ser
convenientemente protegida, no sentido de manter a sua confidencialidade, disponibilidade,
integridade e autenticidade.
Na nossa pesquisa conseguimos analisar as normas com bastante clareza e identificar o
que caracteriza cada uma, sendo que a norma ISO 27000 nos d alguns termos e definies e a
norma ISO 27001 adopta uma abordagem de processos para o estabelecimento,
implementao, operacionalizao, monitorizao, reviso, manuteno e melhoria de um
Sistema de Gesto de Segurana da Informao.
24
11.Referncias Bibliogrficas
XISEC PUBLICATIONS. Disponvel em: http://www.xisec.com/ISMS_Publications.html
COMUINIDADE PORTUGUESA DE SEGURANA DA INFORMAO. Disponvel em:
http://ismspt.blogspot.pt/2005/11/organizaes-certificadas-quase-atingir.html
CERTIFICATION EUROPE. Disponvel em: http://certificationeurope.com/iso-27001information-security/
INTERNATIONAL
REGISTER
OF
http://www.iso27001certificates.com/
ISMS
CERTIFICATES.
Disponvel
em:
25