Escolar Documentos
Profissional Documentos
Cultura Documentos
ISO-IEC 27001 Slide PDF
ISO-IEC 27001 Slide PDF
da Informao
NORMAS NBR ISO/IEC 27001, 27002 e 27005
@thiagofagury
www.fagury.com.br
http://groups.yahoo.com/group/timasters
5. Responsabilidades da direo
(Comprometimento da direo / Gesto de recursos)
8. Melhoria do SGSI
(Melhoria contnua / Ao corretiva / Ao preventiva)
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27001
Estrutura
Anexos:
Anexo A - normativo:
Objetivos de Controles e Controles (27002 - 5 a 15)
Anexo B - informativo:
Princpios da OECD*
Anexo C - informativo:
Correspondncia c/ ISO 9001 e ISO 14001
*Organizao para cooperao e desenvolvimento econmico
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27001
0. Introduo
Manter e Monitorar e
Melhorar Anal. Criticamente
3.2 disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por
uma entidade autorizada
[ISO/IEC 13335-1:2004]
3.3 confidencialidade
Propriedade de que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no
autorizados
[ISO/IEC 13335-1:2004]
Requisitos gerais
A organizao deve:
f)
Realizar uma anlise crtica do SGSI pela direo em bases
regulares para assegurar que o escopo permanece adequado e que
so identificadas melhorias nos processos do SGSI
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27001
4. SGSI
Manter e Melhorar o SGSI
a)
Implementar as melhorias identificadas no SGSI.
b) Executar as aes preventivas e corretivas apropriadas.
Aplicar as lies aprendidas de experincias de segurana da
informao de outras organizaes e aquelas da prpria
organizao.
c) Comunicar as aes e melhorias a todas as partes
interessadas com um nvel de detalhe apropriado s
circunstncias e, se relevante, obter a concordncia sobre
como proceder.
d) Assegurar-se de que as melhorias atinjam os objetivos
pretendidos.
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27001
4. SGSI
Requisitos de Documentao
- A documentao deve incluir registros de decises da direo,
assegurar que as aes sejam rastreveis s polticas e decises da
direo, e assegurar que os resultados registrados sejam
reproduzveis;
- Deve incluir declaraes documentadas da poltica, escopo,
procedimentos e controles que apoiam o SGSI, metodologia e
relatrio da anlise/aval. de riscos, procedimentos documentados
para EIOMAMM o SGSI e declarao de aplicabilidade;
- Controle de documentos;
- Controle de registros.
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27001
5. Responsabilidade da Direo
5.1 Comprometimento da Direo:
A Direo deve fornecer evidncia do seu comprometimento
com o EIOMAMM do SGSI mediante:
a)
o estabelecimento da poltica do SGSI;
b) a garantia de que so estabelecidos os planos e objetivos do
SGSI;
c)
o estabelecimento de papis e responsabilidades pela
segurana de informao;
d) a comunicao organizao da importncia em atender aos
objetivos de segurana da informao e conformidade;
f)
a definio de critrios para aceitao de riscos e dos nveis de
riscos aceitveis;
a)
poltica de segurana da informao, objetivos e atividades, que
reflitam os objetivos do negcio;
b) uma abordagem e uma estrutura para a implementao,
manuteno, monitoramento e melhoria da segurana da
informao que seja consistente com a cultura organizacional;
c)
comprometimento e apoio visvel dos nveis gerenciais;
d) um bom entendimento dos requisitos de segurana da
informao, da anlise/avaliao de riscos e da gesto de risco;
f)
distribuio de diretrizes e normas sobre a poltica de
segurana da informao para todos os gerentes, funcionrios
e outras partes envolvidas;
g)
proviso de recursos financeiros para as atividades da
gesto de segurana da informao;
h)
proviso de conscientizao, treinamento e educao
adequados;
i)
estabelecimento de um eficiente processo de gesto de
incidentes de segurana da informao;
j)
implementao de um sistema de medio, que seja usado
para avaliar o desempenho da gesto da segurana da
informao e obteno de sugestes para a melhoria.
2.2 controle
forma de gerenciar o risco, incluindo polticas, procedimentos,
diretrizes, prticas ou estruturas organizacionais, que podem
ser de natureza administrativa, tcnica, de gesto ou legal
NOTA
Controle tambm usado como um sinmino para proteo ou contramedida.
2.3 diretriz
descrio que orienta o que deve ser feito e como, para se
alcanarem os objetivos estabelecidos nas polticas
[ISO/IEC 13335-1:2004]
2.8 poltica
intenes e diretrizes globais formalmente expressas pela direo
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27002
2. Termos e Definies
2.9 risco
combinao da probabilidade de um evento e de suas conseqncias
[ABNT ISO/IEC Guia 73:2005]
2.16 ameaa
causa potencial de um incidente indesejado, que pode resultar em
dano para um sistema ou organizao
[ISO/IEC 13335-1:2004]
2.17 vulnerabildade
fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaas
- Opes de tratamento:
*Aplicar controles para a reduo do risco;
*Conhecer objetivamente e aceitar o risco;
*Evitar os riscos, proibindo aes que possam causar o risco;
*Transferir para outras partes (Ex: Seguradoras).
- Deve conter:
* Uma definio de segurana da informao, suas metas globais,
escopo e importncia da segurana da informao;
* Uma declarao do comprometimento da direo;
* Uma estrutura para estabelecer os objetivos de controle e os
controles, incluindo a estrutura de anlise/avaliao e gerenciamento
de risco;
* Definio das responsabilidades gerais e especficas na GSI.
- Controles:
- Categorias:
* Infraestrutura da segurana da informao e Partes externas
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27002
6. Organizando a SI
- Controles:
* Comprometimento da direo com a SI;
* Coordenao da SI;
* Atribuio de responsabilidades para SI;
* Processo de autorizao p/ os recursos de processamento da inf.;
* Acordos de confidencialidade;
* Contato com autoridades;
* Contato com grupos especiais;
* Anlise Crtica Independente de SI;
* Identificao de riscos relacionados com partes externas;
* Identificao da SI ao tratar com clientes;
* Identificao da SI nos acordos com terceiros.
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27002
7. Gesto de Ativos
- Objetivo: Alcanar e manter a proteo adequada dos ativos da
organizao.
- Convm que todos os ativos sejam inventariados e tenham um
proprietrio responsvel.
- Convm que os proprietrios dos ativos sejam identificados e a
eles seja atribuda a responsabilidade pela manuteno apropriada
dos controles.
Categorias:
* Responsabilidade pelos ativos;
* Classificao da informao.
- Controles:
* Inventrio dos ativos;
* Propriedade dos ativos;
* Uso aceitvel dos ativos;
* Recomendaes para classificao da informao;
* Rtulos e tratamento da informao.
- Controles:
* Papis e Responsabilidades * Seleo;
* Termos e condies de contratao;
* Responsabilidades da direo;
* Conscientizao, educao e treinamento em SI;
* Processo disciplinar;
* Encerramento de atividades;
* Devoluo de ativos;
* Retirada de direitos de acesso.
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27002
9. Seg. Fsica e do Ambiente
- Objetivo: Prevenir o acesso fsico no autorizado, danos e
interferncias com as instalaes e informaes da
organizao.
- 2 categorias:
* reas Seguras; e * Segurana de equipamentos.
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27002
9. Seg. Fsica e do Ambiente
- Controles:
* Permetro de Segurana
* Segurana em escritrios, salas e instalaes;
* Proteo contra ameaas externas e do meio ambiente;
* Trabalho em reas seguras;
* Acesso do pblico, reas de entrega e carregamento;
* Instalao e proteo do equipamento;
* Utilidades;
* Segurana do cabeamento;
* Manuteno dos equipamentos;
* Segurana de equipamentos fora das dep. da organizao;
* Reutilizao e alienao segura de equipamentos;
* Remoo de propriedade.
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27002
10. Gerenciamento de Operaes e Comunicaes
- Controles:
* Limitao de horrio de conexo;
* Restrio de acesso informao;
* Isolamento de sistemas sensveis;
* Computao e comunicao mvel;
* Trabalho remoto.
- Categorias:
- Controles:
* Anlise crtica tcnica das aplicaes aps mudanas de SO;
* Restries sobre mudanas em pacotes de software;
* Vazamento de informaes;
* Desenvolvimento terceirizado de software;
* Controle de vulnerabilidades tcnicas.
- Controles:
* Notificao de eventos de segurana da informao;
* Notificao de fragilidades de segurana da informao;
* Responsabilidades e procedimentos;
* Aprendizado com os incidentes de SI;
* Coleta de evidncias.
sexta-feira, 5 de novembro de 2010
NBR ISO/IEC 27002
14. Gesto de Cont. do Negcio
Objetivo:
No permitir a interrupo das atividades do negcio e proteger os
processos crticos contra efeitos de falhas ou desastres significativos, e
assegurar a sua retomada em tempo hbil, se for o caso.
Controles:
Contempla 3 categorias:
* Conformidade com requisitos legais;
* Conformidade com normas e polticas de segurana da
informao e conformidade tcnica;
* Consideraes quanto auditoria de sistemas de
informao.
- Dvidas;
- Resoluo de questes;
- O que vimos aqui?
- Dvidas;
- Resoluo de questes;
- O que vimos aqui?
Obrigado!
@thiagofagury