Você está na página 1de 4

ABNT NBR ISO 27001 e 27002

As normas ABNT NBR ISO 27001 e 27002 são um guia prático para o desenvolvimento e
implementação de procedimentos e controles de segurança da informação em uma organização.

Segunda o norma ISO 27002, segurança da informação é a proteção da informação contra os mais
diversos tipos de ameaças para garantir a continuidade dos negócios, minimizando os riscos e
maximizando o retorno sobre os investimentos e as oportunidades de negócio.

Modelos de ataque:

 Interceptação
 Interrupção
 Modificação
 Fabricação

Formas de Ataque:

 Passivo: monitoramento das transmissões;


 Ativo: modificação de dados, negação de serviços;

Os princípios básicos da segurança da informação segundo a norma são: Confidencialidade,


Integridade, Disponibilidade, Autenticidade, Controle de Acesso, Irretratabilidade (não-repúdio),
Conformidade.

Segundo a norma, os requisitos de segurança da informação podem advir de 3 fontes:

 Análise/Avaliação de riscos: identificar as vulnerabilidades e ameaças aos ativos;


 Legislação vigente: leis, estatutos, regulamentos, normas que devem ser atendidos;
 Conjunto de princípios: objetivos e requisitos de negócio para processamento de informação;

É necessário simultaneamente conhecer a legislação que a organização é obrigada a seguir e levantar


os requisitos de segurança necessários para atendê-la, só então é possível identificar os controles
necessários e aqueles apontados pela análise de risco, com o uso das norma de segurança.

Os controles (ou contramedidas) são conjunto de medidas para gerenciar riscos (tratar as
vulnerabilidades e reduzir o risco de incidentes de segurança da informação) que incluem políticas,
procedimentos, diretrizes, práticas. Exemplo de controles definidos pela norma: barreiras (catracas,
portas), senhas, políticas de segurança, backup, controle de acesso lógico.

Os controles selecionados devem estar de acordo com a legislação e a regulamentação nacionais e


internacionais vigentes  (princípio da legalidade) e que são relevantes para a segurança da
informação e ao negócio da organização.

A norma foi preparada para prover o modelo para estabelecer, implementar, operar, monitor, analisar
criticamente, manter e melhorar (eiomamm) um Sistema de Gestão da Segurança da Informação
(SGSI).

Os controles essenciais da gestão da seguração da informação:

 Proteção dos dados e privacidade de informações pessoais;


 Proteção dos registros organizacionais;
 Direito de propriedade intelectual.

Já os controle que são boas práticas são:

 Documento da política de segurança da informação;


 Atribuição de responsabilidades para a segurança da informação;
 Educação e treinamento em segurança da informação;
 Processamento correto em aplicações;
 Gestão das vulnerabilidades;
 Gestão da continuidade do negócio (planos de contingência e de continuidade);
 Gestão de incidentes de segurança da informação.

Fatores críticos para o sucesso da segurança da informação:

 Política de segurança com os objetivos e práticas alinhada ao objetivos de negócio da


organização;
 Comprometimento dos níveis gerenciais;
 Divulgação eficiente;
 Entendimentos dos requisitos, da análise, da avaliação e da gestão dos riscos.

Estrutura da Norma

A norma possui 11 seções, 39 categorias e 133 controles. As seções são:

Seção Categoria  

1. Politica de Segurança da  Política de segurança da informação   


Informação

2. Organizando a Segurança da  Infraestrutura da segurança da informação  


Informação
 Partes externas 

3. Gestão de Ativos  Responsabilidade pelos ativos  

 Classificação das informações 

4. Segurança em Recursos Humanos  Antes da contratação  


 Durante a contratação

 Encerramento ou mudança da contratação 

5. Segurança Física e do Ambiente  Áreas seguras  

 Segurança dos equipamentos 

6. Gerenciamento das Operações e  Procedimentos e responsabilidades operacionais  


Comunicações
 Gerenciamento de serviços terceirizados
 Planejamento e aceitação dos sistemas
 Proteção contra códigos maliciosos e códigos
móveis
 Cópias de segurança
 Gerenciamento da segurança em redes
 Manuseio de mídias
 Troca de informações
 Serviços de comércio eletrônico

 Monitoramento 

7. Controle de Acesso  Requisitos de negócios para controle de acesso  


 Gerenciamento de acesso de usuário
 Responsabilidades dos usuários
 Controle de acesso à rede
 Controle de acesso ao sistema operacional
 Controle de acesso à aplicação e à informação

 Computação móvel e trabalho remoto

8. Aquisição, Desenvolvimento e  Requisitos de segurança de sistemas de  


Manutenção de Sistemas de informação
Informação
 Processamento correto nas aplicações
 Controles criptográficos
 Segurança dos arquivos do sistema
 Segurança em processos de desenvolvimento e
suporte

 Gestão de vulnerabilidades técnicas


9. Gestão de Incidentes de Segurança  Notificação de fragilidades e eventos de  
da Informação segurança da informação

 Gestão de incidentes de segurança da


informação e melhorias

10.Gestão da Continuidade do  Aspectos da gestão da continuidade do negócio,  


Negócio relativos à segurança da informação 

11. Conformidade  Conformidade com requisitos legais  


 Conformidade com normas e políticas de
segurança da informação e conformidade
técnica

 Considerações quanto à auditoria de sistemas de


informação

Referências:

COELHO, Flávia Estélia Silva; ARAÚJO, Luiz Geraldo Segadas de. Gestão da Segurança da
Informação - NBR 27001 e 27002. Rio de Janeiro: Escola Superior de Redes, RNP, 2013. Disponível
em: http://pt.scribd.com/doc/58008255/Gestao-da-Seguranca-da-Informacao-NBR-27001-e-NBR-
27002.

Você também pode gostar