Curso On-Line

Segurança da Informação

Normas de Segurança da Informação – Parte 1

Prof. M.Sc. Gleyson Azevedo

professor.gleyson@gmail.com
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 1
Visão Geral – Normas de SI
„ NBR ISO/IEC 27001 – SGSI – Requisitos
„ NBR ISO/IEC 27002 – Código de Prática para a
Gestão da SI
„ NBR ISO/IEC 27005 – Gestão de Riscos de SI
„ NBR ISO/IEC 15999-1 – GCN – Código de Prática
„ NBR ISO/IEC 15999-2 – GCN – Requisitos

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 2
Introdução
„ ISO (International Organization for Standardization) –
federação internacional formada por organismos de
normalização nacionais de diversos países do mundo.
„ Trabalho da ISO – elaboração de normas (acordos
internacionais) não limitadas a nenhum segmento em
particular.
„ Cobrem todo campo de normalização, exceto engenharia
eletrônica e eletrotécnica, de responsabilidade da IEC
(International Eletrotechnical Commission).

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 3
Introdução
„ O grupo internacional JTC1/SC27, formado pelas
organizações ISO e IEC, tem como objetivo criar e
gerenciar normas internacionais de segurança da
informação.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 4
NBR ISO/IEC 27001:2006 – Visão
Geral
„ A ABNT NBR ISO/IEC 27001:2006 é a norma usada para
fins de certificação e substitui a norma britânica BS 7799-
2:2002.
„ Uma organização que deseja implantar um Sistema de
Gestão de Segurança da Informação (SGSI) deve adotar
essa norma como base.
„ A rigor, a norma é uma especificação (documento que é
utilizado para a realização de auditorias e consequente
certificação) de um SGSI.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 5
NBR ISO/IEC 27001:2006 –
Seções (Estrutura)
0. Introdução
1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
4.1 Requisitos gerais
4.2 Estabelecendo e gerenciando o SGSI
4.3 Requisitos de documentação

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 6
NBR ISO/IEC 27001:2006 –
Seções (Estrutura)
(Cont.):
5. Responsabilidades da direção
5.1 Comprometimento da direção
5.2 Gestão de recursos
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
7.1 Geral
7.2 Entradas para a análise crítica
7.3 Saídas da Análise Crítica
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 7
NBR ISO/IEC 27001:2006 –
Seções (Estrutura)
(Cont.):
8. Melhoria do SGSI
8.1 Melhoria contínua
8.2 Ação corretiva
8.3 Ação preventiva
Anexo A (normativo) – Objetivos de Controles e Controles
Anexo B (informativo) – Princípios da OECD
Anexo C (informativo) – Correspondência com a ISO 9001 e a
ISO 14001.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 8
 Exercícios

1. (Tecnologista Pleno – Segurança de Sistemas de Informação – MCT/2008 –

CESPE) Com base nas normas ABNT NBR ISO/IEC 27001:2006 e
27002:2005, julgue os itens que se seguem.
1. [119] Uma organização que deseje implantar um sistema de gestão de
segurança da informação (SGSI) deve adotar como base a norma ABNT NBR
ISO/IEC 27001:2006.
2. [120] A seção 5 da norma ISO/IEC 27001 trata de como a informação deve ser
classificada, de acordo com a sua necessidade de segurança e controle de
acesso.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 9
NBR ISO/IEC 27001 –
0. Introdução
„ A norma adota o modelo conhecido como PDCA, aplicado
para estruturar todos os processos do SGSI, como descrito:
„ Plan (Planejar): estabelecer a política de segurança da
informação, os objetivos, processos e os procedimentos
do SGSI.
„ Do (Fazer): implementar e operar a política, os
procedimentos, controles e processos do SGSI.
„ Check (checar): monitorar, analisar criticamente,
realizar auditorias e medir o desempenho dos processos.
„ Act (agir): manter e melhorar, por meio de ações
corretivas e preventivas, o SGSI visando ao seu contínuo
aperfeiçoamento.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 10
NBR ISO/IEC 27001 –
0. Introdução

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 11
NBR ISO/IEC 27001
1. Objetivo
„ Objetivo Geral
„ Especifica requisitos para EIOMAMM um SGSI.
„ O SGSI é projetado para assegurar a seleção de
controles de segurança adequados para proteger os
ativos de informação e proporcionar confiança às partes
interessadas.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 12
NBR ISO/IEC 27001
1. Objetivo
„ Aplicação
„ Os requisitos são genéricos – se adequam a qualquer
organização.
„ A exclusão de quaisquer dos requisitos especificados
nas seções 4 a 8 não é aceitável quando uma
organização reivindica conformidade com a norma.
„ A exclusão de controles considerada necessária para
satisfazer os critérios de aceitação de risco precisa ser
justificada e as evidências precisam ser providas para
a associação dos riscos aceitos às pessoas responsáveis.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 13
 Exercícios

2. (Tecnologista Jr – MCT/2008 – CESPE) Acerca das normas nacionais e

internacionais relativas à segurança da informação, bem como da gestão
de riscos de sistemas de informação, julgue os itens seguintes.
1. [119] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que é
aplicado para estruturar todos os processos dos sistemas de gestão de
segurança da informação — information security management system (ISMS).
2. [120] Dependendo de seu tamanho ou natureza, uma organização pode
considerar um ou mais requisitos da norma ISO 27001 como não-aplicáveis e,
ainda assim, continuar em conformidade com essa norma internacional.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 14
NBR ISO/IEC 27001
2. Referência normativa
„ A ABNT ISO/IEC 17799:2005 (27002) é
indispensável para a aplicação da ABNT ISO/IEC
27001:2006.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 15
NBR ISO/IEC 27001
3. Termos e Definições
„ Sistema de Gestão da Segurança da Informação
(SGSI) – a parte do sistema de gestão global, baseado na
abordagem de riscos do negócio, para EIOMAMM a SI.
„ Inclui: estrutura organizacional, políticas, planejamento de
atividades, responsabilidades, práticas, procedimentos,
processos e recursos.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 16
NBR ISO/IEC 27001
3. Termos e Definições
„ Evento de segurança da informação - ocorrência
identificada de um sistema, serviço ou rede que indica uma
possível violação da política de segurança da informação ou
falha de controles, ou uma situação previamente
desconhecida, que possa ser relevante para a segurança da
informação.
„ Incidente de segurança da informação - um simples
ou uma série de eventos de segurança da informação
indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operações do negócio e
ameaçar a segurança da informação.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 17
NBR ISO/IEC 27001
3. Termos e Definições
„ Declaração de aplicabilidade - declaração documentada
que descreve os objetivos de controle e controles que são
pertinentes e aplicáveis ao SGSI da organização.
„ Os objetivos de controle e controles estão baseados nos
resultados e conclusões do processo de avaliação de risco e
tratamento de risco, requisitos legais ou regulatórios,
obrigações contratuais e os requisitos de negócio da
organização para a segurança da informação.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 18
NBR ISO/IEC 27001
4. SGSI – Requisitos Gerais
„ “A organização deve” EIOMAMM um SGSI
documentado dentro do contexto das atividades de
negócio globais da organização e os riscos que
elas enfrentam.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 19
NBR ISO/IEC 27001
4. SGSI – Estabelecer o SGSI (Plan)
„ A organização deve:
„ definir o escopo e os limites do SGSI;
„ definir uma política de segurança da informação;
„ definir a sistemática de análise/avaliação de riscos de
segurança da informação;
„ identificar os riscos;
„ analisar e avaliar os riscos;
„ identificar e avaliar as opções para o tratamento de
riscos;

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 20
NBR ISO/IEC 27001
4. SGSI – Estabelecer o SGSI (Plan)
„ (Cont.):
„ selecionar objetivos de controle e controles para o
tratamento de riscos;
„ obter aprovação da direção dos riscos residuais
propostos;
„ obter autorização da direção para implementar e operar
o SGSI;
„ preparar uma declaração de aplicabilidade.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 21
 Exercícios
3. (Analista Administrativo – Tecnologia da Informação – Análise de Negócios
– ANATEL – CESPE – 2009) A figura a seguir, obtida na norma ABNT NBR
ISO/IEC 27001:2006, apresenta um modelo de gestão da segurança da
Informação. Julgue os itens subsequentes acerca das informações
apresentadas e dos conceitos de segurança da informação.
1. [83] Considere as diferentes fases do ciclo de gestão no modelo da figura —
plan, do, check e act. A definição de critérios para a avaliação e para a
aceitação dos riscos de segurança da informação que ocorrem no escopo para
o qual o modelo da figura está sendo estabelecido, implementado, operado,
monitorado, analisado criticamente, mantido e melhorado ocorre,
primariamente, durante a fase do.
2. [85] A classificação da informação é um objetivo de controle explicitamente
enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois
controles, sendo um deles relacionado a recomendações para classificação e o
outro, ao uso de rótulos.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 22
Exercícios

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 23
NBR ISO/IEC 27001 - 4. SGSI –
Implementar e Operar o SGSI (Do)
„ A organização deve:
„ formular um plano de tratamento de risco;
„ implementar o plano de tratamento de risco;
„ implementar os controles selecionados;
„ definir como medir a eficácia dos controles;
„ implementar programas de conscientização e
treinamento;
„ gerenciar as operações do SGSI;

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 24
NBR ISO/IEC 27001 - 4. SGSI –
Implementar e Operar o SGSI (Do)
„ (Cont.):
„ gerenciar os recursos para o SGSI;

„ implementar procedimentos e outros controles capazes

de permitir a rápida detecção e resposta a incidentes de
segurança.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 25
NBR ISO/IEC 27001 - 4. SGSI –
Monitorar e Analisar Criticamente o SGSI
(Check)
„ A organização deve:
„ executar procedimentos de monitoração e análise crítica;
„ realizar análises críticas regulares da eficácia do SGSI;
„ medir a eficácia dos controles;
„ analisar criticamente as análises/avaliações de riscos a
intervalos planejados e os riscos residuais;
„ conduzir auditorias internas no SGSI a intervalos
planejados;

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 26
NBR ISO/IEC 27001 - 4. SGSI –
Monitorar e Analisar Criticamente o SGSI
(Check)
„ (Cont.):
„ realizar uma análise crítica do SGSI pela direção;

„ atualizar os planos de segurança da informação;

„ registrar as ações e eventos que poderiam ter um

impacto na efetividade ou desempenho do SGSI.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 27
NBR ISO/IEC 27001 – 4. SGSI –
Manter e Melhorar o SGSI (Act)
„ A organização deve regularmente:
„ implementar as melhorias identificadas no SGSI;
„ executar as ações preventivas e corretivas apropriadas;
„ comunicar as ações e melhorias a todas as partes
interessadas;
„ assegurar-se de que as melhorias alcancem os objetivos
propostos.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 28
NBR ISO/IEC 27001 – 4. SGSI –
Requisitos de Documentação
„ A documentação do SGSI deve incluir:
„ declarações documentadas da política e objetivos do
SGSI;
„ o escopo do SGSI;
„ procedimentos e controles que apoiam o SGSI;
„ uma descrição da metodologia de análise/avaliação de
riscos;
„ o relatório de análise/avaliação de riscos;
„ o plano de tratamento de riscos;
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 29
NBR ISO/IEC 27001 – 4. SGSI –
Requisitos de Documentação
„ (Cont.):
„ procedimentos documentados requeridos pela
organização;
„ registros requeridos pela norma e
„ a Declaração de Aplicabilidade.
„ Registros devem ser estabelecidos e mantidos para prover
evidência de conformidade aos requisitos e efetividade da
operação do SGSI.
„ Exemplos de registros: livros de visitantes, relatórios de
auditoria e formulários de autorização de acesso completo.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 30
NBR ISO/IEC 27001
5. Responsabilidades da Direção
„ A direção deve fornecer evidências do seu
comprometimento com o EIOMAMM do SGSI.
„ A responsabilidade da direção é complementada por uma
adequada gestão de recursos, que se evidencia por:
„ uma apropriada provisão de recursos financeiros;
„ assegurar o devido treinamento, conscientização e
capacitação para todos os que possuem
responsabilidades atribuídas e definidas no SGSI.
„ A organização também deve assegurar que todo o pessoal
pertinente esteja consciente da relevância e importância
das suas atividades para o SGSI.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 31
NBR ISO/IEC 27001
6. Auditorias Internas do SGSI
„ A organização deve conduzir auditorias internas no SGSI a
intervalos planejados.
„ A gerência responsável pela área a ser auditada deve
assegurar que as ações sejam executadas, sem demora
indevida, para eliminar as não-conformidades detectadas e
suas causas.
„ Atividades de acompanhamento devem incluir a verificação
das ações tomadas e a comunicação de resultados de
verificação.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 32
NBR ISO/IEC 27001 – 7. Análise
Crítica do SGSI pela Direção
„ Entradas para a análise crítica:
„ resultados das auditorias do SGSI e análises críticas;
„ realimentações das partes interessadas;
„ técnicas, produtos ou procedimentos que poderiam ser
usados na organização para melhorar o desempenho e a
eficácia do SGSI;
„ situação das ações preventivas e corretivas;
„ vulnerabilidades ou ameaças não contempladas
adequadamente nas análises/avaliações de risco
anteriores;

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 33
NBR ISO/IEC 27001 – 7. Análise
Crítica do SGSI pela Direção
„ (Cont.):
„ resultados das medições de eficácia;
„ acompanhamento das ações oriundas de análises
críticas anteriores;
„ qualquer mudança que poderia afetar o SGSI;
„ recomendações para melhoria.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 34
NBR ISO/IEC 27001 – 7. Análise
Crítica do SGSI pela Direção
„ As saídas devem incluir quaisquer decisões e ações
relacionadas a:
„ melhoria da eficácia do SGSI;
„ atualização da análise/avaliação de riscos e do plano de
tratamento de riscos;
„ modificação de procedimentos e controles que afetem a
segurança da informação,
„ necessidade de recursos;
„ melhoria de como a eficácia dos controles está sendo
medida.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 35
NBR ISO/IEC 27001 – 8. Melhoria
do SGSI – Ação Corretiva
„ A organização deve executar ações para eliminar as causas
de não-conformidades com os requisitos do SGSI, de forma
a evitar sua repetição.
„ O procedimento documentado para ação corretiva deve
definir requisitos para:
„ identificar não-conformidades;
„ determinar as causas de não-conformidades;
„ avaliar a necessidade por ações para assegurar que as
não-conformidades não ocorram novamente;

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 36
NBR ISO/IEC 27001 – 8. Melhoria
do SGSI – Ação Corretiva
„ (Cont.):
„ determinar e implementar as ações corretivas
necessárias;
„ registrar os resultados das ações executadas;
„ analisar criticamente as ações corretivas executadas.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 37
NBR ISO/IEC 27001 – 8. Melhoria
do SGSI – Ação Preventiva
„ A organização deve determinar ações para eliminar as
causas de não-conformidades potenciais com os requisitos
do SGSI, de forma a evitar a sua ocorrência.
„ O procedimento documentado para ação preventiva deve
definir requisitos para:
„ identificar não-conformidades potenciais e suas causas;
„ avaliar a necessidade de ações para evitar a ocorrência
de não-conformidades;
„ determinar e implementar as ações preventivas
necessárias;

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 38
NBR ISO/IEC 27001 – 8. Melhoria
do SGSI – Ação Preventiva
„ (Cont.):
„ registrar os resultados de ações executadas;
„ analisar criticamente as ações preventivas executadas.
„ A norma define que ações para prevenir não-conformidades
frequentemente têm melhor custo-benefício que as ações
corretivas.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 39
 Exercícios

4. (Analista – Redes – SERPRO/2008 – CESPE) Atualmente, a informação é um

importante ativo para praticamente todo o tipo de organização. A
segurança desse ativo faz-se necessária, seja por questão de
conformidade com leis e contratos, seja para assegurar a continuidade do
negócio. Acerca da segurança da informação, bem como das normas e
políticas a ela aplicáveis, julgue os itens a seguir.
1. [86] A declaração de aplicabilidade é um documento que deve detalhar os
objetivos de controle e os controles a serem implementados para a segurança
da informação. Os demais controles e objetivos de controle, não inclusos na
declaração de aplicabilidade, devem fazer parte do documento de análise de
GAP.
2. [87] A definição de critérios para aceitação de riscos é uma das
responsabilidades da alta administração, segundo a norma NBR ISO/IEC
27001.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 40
 Exercícios
3. [88] O estabelecimento da política do sistema de gestão de segurança da
informação (SGSI) é de responsabilidade da equipe de segurança da
informação.
4. [89] Para assegurar que os controles, objetivos de controle e processos sejam
executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001
recomenda a realização de auditorias externas em intervalos regulares de, no
máximo, seis meses.
5. [90] A identificação de não-conformidades potenciais e suas causas é
caracterizada como uma ação preventiva, segundo a norma NBR ISO/IEC
27001.
6. [91] Entre as atividades contempladas na fase agir (act) está a necessidade de
identificar não-conformidades potenciais e suas causas, objetivando alcançar a
melhoria contínua do sistema de gestão de segurança da informação.
7. [92] A norma NBR ISO/IEC 27001 recomenda a adoção de abordagem
qualitativa para a realização da análise de risco.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 41
Gabarito das Questões
1. 1C-2E
2. 1C-2E
3. 1E-2C
4. 1E-2C-3C-4E-5C

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson 42