As normas ABNT NBR ISO 27001 e 27002 são um guia prático para o desenvolvimento e implementação de procedimentos e controles de segurança da informação em uma organização.
Segunda o norma ISO 27002, segurança da informação é a proteção da informação contra os mais diversos tipos de ameaças para garantir a continuidade dos negócios, minimizando os riscos e maximizando o retorno sobre os investimentos e as oportunidades de negócio.
Ativo: modificação de dados, negação de serviços;
Os princípios básicos da segurança da informação segundo a norma são: Confidencialidade,
Integridade, Disponibilidade, Autenticidade, Controle de Acesso, Irretratabilidade (não-repúdio), Conformidade.
Segundo a norma, os requisitos de segurança da informação podem advir de 3 fontes:
Análise/Avaliação de riscos: identificar as vulnerabilidades e ameaças aos ativos;
Legislação vigente: leis, estatutos, regulamentos, normas que devem ser atendidos; Conjunto de princípios: objetivos e requisitos de negócio para processamento de informação;
É necessário simultaneamente conhecer a legislação que a organização é obrigada a seguir e levantar
os requisitos de segurança necessários para atendê-la, só então é possível identificar os controles necessários e aqueles apontados pela análise de risco, com o uso das norma de segurança.
Os controles (ou contramedidas) são conjunto de medidas para gerenciar riscos (tratar as vulnerabilidades e reduzir o risco de incidentes de segurança da informação) que incluem políticas, procedimentos, diretrizes, práticas. Exemplo de controles definidos pela norma: barreiras (catracas, portas), senhas, políticas de segurança, backup, controle de acesso lógico.
Os controles selecionados devem estar de acordo com a legislação e a regulamentação nacionais e
internacionais vigentes (princípio da legalidade) e que são relevantes para a segurança da informação e ao negócio da organização.
A norma foi preparada para prover o modelo para estabelecer, implementar, operar, monitor, analisar criticamente, manter e melhorar (eiomamm) um Sistema de Gestão da Segurança da Informação (SGSI).
Os controles essenciais da gestão da seguração da informação:
Proteção dos dados e privacidade de informações pessoais;
Proteção dos registros organizacionais; Direito de propriedade intelectual.
Já os controle que são boas práticas são:
Documento da política de segurança da informação;
Atribuição de responsabilidades para a segurança da informação; Educação e treinamento em segurança da informação; Processamento correto em aplicações; Gestão das vulnerabilidades; Gestão da continuidade do negócio (planos de contingência e de continuidade); Gestão de incidentes de segurança da informação.
Fatores críticos para o sucesso da segurança da informação:
Política de segurança com os objetivos e práticas alinhada ao objetivos de negócio da
organização; Comprometimento dos níveis gerenciais; Divulgação eficiente; Entendimentos dos requisitos, da análise, da avaliação e da gestão dos riscos.
Estrutura da Norma
A norma possui 11 seções, 39 categorias e 133 controles. As seções são:
Seção Categoria
1. Politica de Segurança da Política de segurança da informação
Informação
2. Organizando a Segurança da Infraestrutura da segurança da informação
Informação Partes externas
3. Gestão de Ativos Responsabilidade pelos ativos
Classificação das informações
4. Segurança em Recursos Humanos Antes da contratação
Durante a contratação
Encerramento ou mudança da contratação
5. Segurança Física e do Ambiente Áreas seguras
Segurança dos equipamentos
6. Gerenciamento das Operações e Procedimentos e responsabilidades operacionais
Comunicações Gerenciamento de serviços terceirizados Planejamento e aceitação dos sistemas Proteção contra códigos maliciosos e códigos móveis Cópias de segurança Gerenciamento da segurança em redes Manuseio de mídias Troca de informações Serviços de comércio eletrônico
Monitoramento
7. Controle de Acesso Requisitos de negócios para controle de acesso
Gerenciamento de acesso de usuário Responsabilidades dos usuários Controle de acesso à rede Controle de acesso ao sistema operacional Controle de acesso à aplicação e à informação
Computação móvel e trabalho remoto
8. Aquisição, Desenvolvimento e Requisitos de segurança de sistemas de
Manutenção de Sistemas de informação Informação Processamento correto nas aplicações Controles criptográficos Segurança dos arquivos do sistema Segurança em processos de desenvolvimento e suporte
Gestão de vulnerabilidades técnicas
9. Gestão de Incidentes de Segurança Notificação de fragilidades e eventos de da Informação segurança da informação
Gestão de incidentes de segurança da
informação e melhorias
10.Gestão da Continuidade do Aspectos da gestão da continuidade do negócio,
Negócio relativos à segurança da informação
11. Conformidade Conformidade com requisitos legais
Conformidade com normas e políticas de segurança da informação e conformidade técnica
Considerações quanto à auditoria de sistemas de
informação
Referências:
COELHO, Flávia Estélia Silva; ARAÚJO, Luiz Geraldo Segadas de. Gestão da Segurança da Informação - NBR 27001 e 27002. Rio de Janeiro: Escola Superior de Redes, RNP, 2013. Disponível em: http://pt.scribd.com/doc/58008255/Gestao-da-Seguranca-da-Informacao-NBR-27001-e-NBR- 27002.
![[ARTIGO] - METODOLOGIA PARA CONSTRUÇÃO DE STORYBOARD.pdf](https://imgv2-2-f.scribdassets.com/img/document/403829117/149x198/321021c8a1/1554048091?v=1)
