Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Legislação SI AS 2014 Aula 3

    Enviado por

    josearmando1975
    11 visualizações15 páginas

    Título original

    Legislação_SI_AS_2014_Aula_3

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    11 visualizações15 páginas

    Legislação SI AS 2014 Aula 3

    Enviado por

    josearmando1975

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 15

    Legislação Aplicada a SI e AS

    Legislação Aplicada à
    Segurança da Informação e
    Auditoria de Sistemas
    Aula 3

    Prof. Wagner Moreira


    (wmoreira@gmail.com)

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS

    Agenda:

    ► Norma NBR ISO/IEC 27002.

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002:
    Baseada na norma internacional BS 7799

    Objetivos:

    ►Uma base comum para o desenvolvimento de normas de segurança da


    informação e de práticas efetivas de gestão de segurança.

    ►Fornecer recomendações para os responsáveis pela gestão de segurança


    da informação.

    ►Aumentar a confiança no relacionamento entre as organizações (seguir um


    padrão)

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002 :

    Advertências:

    ► Deve ser considerada como ponto de partida.


    ► Nem todos os controles e recomendações se aplicam a sua organização.
    (maior ou menor proteção dependendo do caso)
    ► As obrigações legais devem ser sempre consideradas.

    Fatores Críticos de Sucesso:

    ► Políticas e padrões alinhados com o negócio.


    ► Comprometimento e apoio visível da alta direção.
    ► Implementação consistente com a cultura da organização. (país)
    ► Divulgação eficiente e treinamento permanente.

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002 :
    Categorias de Segurança da Informação contêm:

    –Um objetivo de controle que define o que deve ser alcançado; e


    –um ou mais controles que podem ser aplicados para se alcançar o objetivo do
    controle.

    As descrições dos controles estão estruturadas da seguinte forma:

    Controle
    –Define qual o controle específico para atender ao objetivo do controle.

    Diretrizes para a implementação


    –Informações mais detalhadas para apoiar a implementação do controle.

    Informações adicionais
    –Considerações legais e referências a outras normas.

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002 :
    11 Seções de Controle de Segurança da Informação:

    – 5. Política de Segurança da Informação (1 categoria)


    – 6. Organizando a Segurança da Informação (2 categorias)
    – 7. Gestão de Ativos (2 categorias)
    – 8. Segurança em Recursos Humanos (3 categorias)
    – 9. Segurança Física e do Ambiente (2 categorias)
    – 10. Gerenciamento das Operações e Comunicações (10 categorias)
    – 11. Controle de Acessos (7 categorias)
    – 12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Inform. (6 categorias)
    – 13. Gestão de Incidentes de Segurança da Informação (2 categorias)
    – 14. Gestão da Continuidade do Negócio (1 categoria)
    – 15. Conformidade (3 categorias)

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002 :
    Ponto de Partida para a Segurança da Informação:
    10 Controles: pode ser considerado um bom ponto de partida para a implementação
    da Segurança da Informação. Estes controles são baseados tanto em requisitos
    legais como nas melhores práticas de segurança da informação normalmente
    utilizadas.

    (vide próximo slide)

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002 : Ponto de Partida para a Segurança da Informação:

    Controles baseados nas melhores Controles Essenciais (Legais):


    práticas:
    5.1.1.Documento da política de segurança da 15.1.2.Direitos de propriedade intelectual;
    informação;
    15.1.3.Proteção de registros organizacionais;
    6.1.3.Atribuição de responsabilidades para a
    segurança da informação; 15.1.4.Proteção de dados e privacidade de
    informações pessoais.
    8.2.2.Conscientização, educação e
    treinamento em segurança da informação;

    12.2.Processamento correto nas aplicações;

    12.6.Gestão de vulnerabilidades técnicas;

    13.2.Gestão de incidentes de segurança da


    informação e melhorias;

    14.Gestão da continuidade do negócio;

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002 :
    5.1. Política da Segurança da Informação:

    5.1.1. Documento da Política da Segurança da Informação

    Controle
    –Um documento da política de segurança da informação deve ser aprovado pela direção,
    publicado e comunicado para todos os funcionários e partes externas relevantes.

    Diretrizes para implementação


    Documento da política de segurança da informação deve declarar o comprometimento da
    direção e estabelecer o enfoque da organização para gerenciar a segurança da
    informação.

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002 :
    5.1.1. Documento da Política da Segurança da Informação (continuação)

    Convém que o documento da política contenha:

    1. Definição de segurança da informação, metas globais, escopo e importância;


    2. Declaração do comprometimento da direção, apoiando as metas e princípios da
    segurança da informação, alinhada com os objetivos e estratégias do negócio;
    3. Explanação das políticas, princípios, normas e requisitos de conformidade de
    segurança da informação específicos para a organização, incluindo:

    a) conformidade com a legislação e com requisitos regulamentares e contratuais;


    b) requisitos de conscientização, treinamento e educação em segurança da informação;
    c) gestão da continuidade do negócio;
    d) conseqüências das violações à política de segurança da informação;

    4. Responsabilidades gerais e específicas na gestão da segurança da informação,


    incluindo a gestão de incidentes.

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002 :
    5.1. Política da Segurança da Informação:

    5.1.2. Análise Crítica da Política de Segurança da Informação

    Controle
    –A política de segurança da informação deve ser criticada periódicamente, ou quando
    mudanças significativas ocorrerem, para assegurar a sua contínua pertinência,
    adequação e eficácia.

    Diretrizes para implementação


    ► Nomear Gestor responsável por aprovar a análise crítica e avaliação da política de
    segurança da informação.
    ► Incluir avaliação de oportunidades para melhoria da política.
    ► Deve levar em consideração a análise crítica pela direção. Definir procedimentos
    para isso, incluindo uma programação ou período.

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002:
    5.1.2. Análise Crítica da Política de Segurança da Informação

    Fontes de informação para a análise crítica pela direção:

    1. Resultados de análises críticas independentes;


    2. Situação de ações preventivas e corretivas;
    3. Mudanças que possam afetar o enfoque da organização para gerenciar a segurança
    da informação, incluindo:
    a) mudanças no ambiente organizacional,
    b) nas circunstâncias do negócio,
    c) na disponibilidade dos recursos,
    d) nas questões contratuais, regulamentares e de aspectos legais
    e) ou no ambiente técnico;
    4. Tendências relacionadas com as ameaças e vulnerabilidades;
    5. Relato sobre incidentes de segurança da informação;
    6. Recomendações fornecidas por autoridades relevantes.

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002:
    6. Organizando a Segurança da Informação
    6.1. Infra-estrutura da segurança da informação:

    6.1.3. Atribuição de Responsabilidades para a Segurança da Informação

    Controle
    –Todas as responsabilidades pela segurança da informação devem ser claramente
    definidas.

    Diretrizes para implementação


    ► Atribuir responsabilidades pela segurança da informação em conformidade com a
    política de segurança da informação (seção 5).

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002:
    6.1.3. Atribuição de Responsabilidades para a Segurança da Informação

    Diretrizes para implementação (cont.)

    ► Definir as responsabilidades em cada local/área para a proteção dos ativos e pela


    execução dos procedimentos de segurança da informação específicos, como, por
    exemplo, o plano de continuidade de negócios.
    ► As áreas pelas quais as pessoas sejam responsáveis devem ser claramente
    definidas; em particular convém que os seguintes itens sejam cumpridos:
    ► os ativos e os processos de segurança da informação associados com cada
    sistema sejam identificados e claramente definidos;
    ► gestor responsável por cada ativo ou processo de segurança da informação
    tenha atribuições definidas e os detalhes dessa responsabilidade sejam
    documentados;
    ► os níveis de autorização sejam claramente definidos e documentados.

    Prof. Wagner Moreira - wmoreira@gmail.com


    Legislação Aplicada a SI e AS
    Norma NBR ISO/IEC 27002:

    Exercício em sala de aula:

    ► Relacionar os assuntos/aspectos importantes para comporem a Política


    de Segurança da Informação das suas empresas:

    Prof. Wagner Moreira - wmoreira@gmail.com

    Você também pode gostar