Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Demonstracao Aula 1

    Enviado por

    evandro
    15 visualizações5 páginas
    demonstracao-aula-1

    Título original

    demonstracao-aula-1

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    demonstracao-aula-1

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    15 visualizações5 páginas

    Demonstracao Aula 1

    Enviado por

    evandro
    demonstracao-aula-1

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 5

    TI – GESTÃO DE SEGURANÇA DA INFORMAÇÃO – ISOs 27001, 27005 e 15999

    PROF. SÓCRATES FILHO – http://socratesfilho.wordpress.com

    AULA 1 – ISO 27001:2006 / DECRETO n° 3.505/2000

    Olá, pessoal,

    Meu nome é Sócrates Arantes T. Filho, tenho 30 anos, sou graduado em Ciência da
    Computação pela Universidade de Brasília e, atualmente, sou de Analista de Informática
    Legislativa do Senado Federal. Fui Analista de Finanças e Controle da Controladoria-Geral da
    União (CGU), entre 2006 e 2009; Analista Júnior, entre 2004 e 2006, na Caixa Econômica
    Federal; e Técnico Bancário, entre 2002 e 2004, também na Caixa Econômica Federal.
    Comecei os meus estudos para concursos desde 2004, quando me formei, e, com muito
    esforço, consegui a aprovação em diversos concursos, tanto na área de Tecnologia da
    Informação (TI), como em concursos generalistas. Só para exemplificar, coloquei uma pequena
    lista das aprovações que obtive nos últimos anos:
    Classificado e nomeado nos seguintes concursos:
    • Senado Federal – 2008 – Analista de Informática Legislativa (Especialidade: Analista de Sistemas);
    • TCU – 2009 – Auditor Federal de Controle Externo (Especialidade: Tecnologia da Informação);
    • CGU – 2006 – Analista de Finanças e Controle (Especialidade: Tecnologia da Informação);
    • INCRA – 2005 – Analista Administrativo (Especialidade: Analista de Sistemas);
    • BNDES – 2005 – Analista de Sistemas (Especialidade: Suporte);
    • CONFEA – 2005 – Analista de Sistemas;
    • Eletronorte – 2005 – Analista de Sistemas – 1º lugar;
    • SERPRO – 2005 – Analista (Especialidade: Redes de computadores);
    • Ministério da Educação (MEC) – 2005 – Analista de Sistemas;
    • CAIXA – 2000 – Técnico Bancário.

    Classificado nos seguintes concursos (ainda vigentes):


    • Câmara dos Deputados – 2007 – Analista de Informática Legislativa;

    Outros resultados:
    • SEPLAG/GDF – 2009 – Analista de Finanças e Controle (Especialidade: Tecnologia da Informação) –
    1º lugar na 1ª etapa do concurso;
    • SEPLAG/GDF – 2009 – Analista de Planejamento e Orçamento (Especialidade: Tecnologia da
    Informação) – 2º lugar na 1ª etapa do concurso.

    Para chegar até aqui, foi 100% transpiração, não teve nada de genialidade. Se vocês
    seguirem o mesmo caminho, vocês terão um futuro promissor!

    O foco desse material é servir como um complemento para os alunos que já tiveram
    contato com Segurança da Informação, mas que ainda não viram a parte de Gestão de
    Segurança da Informação e de Continuidade. O objetivo desse curso é preparar o candidato
    para esses assuntos, em virtude de concursos de Tecnologia da Informação em que esses
    assuntos são cobrados, como o do TCU, por exemplo.

    Esta é a primeira aula do curso de em um conjunto de duas aulas, que está estruturado da
    seguinte maneira:

    Aula 1 – ISO 27001/2006 / Decreto 3.505/2000

    1. GESTÃO DE SEGURANÇA DA INFORMAÇÃO SEGUNDO A NBR ISO/IEC 27001:2006


    1.1 Objetivo
    1
    O conteúdo deste curso é de uso exclusivo de (NOME POR EXTENSO DO ALUNO) – (CPF DO
    ALUNO), vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia,
    divulgação, e distribuição, sujeitando-se os infratores à responsabilização civil e
    criminal.
    TI – GESTÃO DE SEGURANÇA DA INFORMAÇÃO – ISOs 27001, 27005 e 15999
    PROF. SÓCRATES FILHO – http://socratesfilho.wordpress.com

    1.2 Abordagem de processo de gestão do SGSI


    1.3 Aplicação da norma
    1.4 Sistema de gestão de segurança da informação (SGSI)
    1.4.1 Estabelecimento do SGSI
    1.4.2 Implementar e operar o SGSI
    1.4.3 Monitorar e analisar criticamente o SGSI
    1.4.4 Manter e melhorar o SGSI
    1.5 Requisitos de documentação do SGSI
    1.5.1 Controle da documentação
    1.5.2 Controle de registros
    1.6 Responsabilidades da direção
    1.1.1 Comprometimento da direção
    1.1.2 Gestão de recursos
    1.7 Auditorias internas do SGSI
    1.8 Análise crítica do SGSI pela direção
    1.9 Melhoria do SGSI
    1.9.1 Ação corretiva
    1.9.2 Ação preventiva
    2 LEGISLAÇÃO BRASILEIRA SOBRE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (Decreto
    3.505/2000)

    Aula 2 – Gestão de Riscos e de Continuidade do Negócio

    3 GESTÃO DE RISCOS SEGUNDO A NBR ISO/IEC 27005:2008


    3.1. Objetivo e Introdução
    3.2 Estabelecimento do contexto
    3.3 Análise/Avaliação dos riscos
    3.4 Tratamento dos riscos
    3.5 Aceitação dos riscos
    3.6 Comunicação dos riscos
    3.7 Monitoramento e análise crítica dos riscos
    4 GESTÃO DA CONTINUIDADE DO NEGÓCIO SEGUNDO A NBR ISO/IEC 15999:2007
    4.1 Objetivo
    4.2 15999-1: Código de prática
    4.2.1 Visão geral da gestão da continuidade de negócios (GCN)
    4.2.2 Elementos do ciclo de vida da gestão da continuidade de negócios
    4.2.3 A política de gestão da continuidade de negócios
    4.2.4 Gestão do programa de GCN
    4.2.5 Entendendo a organização
    4.2.6 Determinando a estratégia de continuidade de negócios
    4.2.7 Desenvolvendo e implementando uma resposta de GCN
    4.2.8 Testando, mantendo e analisando criticamente os preparativos de GCN
    4.2.9 Incluindo a GCN na cultura da organização
    4.3 15999-2: Requisitos
    4.3.1 Introdução
    4.3.2 Planejamento do sistema de gestão de continuidade de negócios (SGCN)
    4.3.3 Implementação e operação do SGCN
    4.3.4 Monitoração e análise crítica do SGCN
    4.3.5 Manutenção e melhoria do SGCN

    Vamos avante com o curso!

    2
    O conteúdo deste curso é de uso exclusivo de (NOME POR EXTENSO DO ALUNO) – (CPF DO
    ALUNO), vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia,
    divulgação, e distribuição, sujeitando-se os infratores à responsabilização civil e
    criminal.
    TI – GESTÃO DE SEGURANÇA DA INFORMAÇÃO – ISOs 27001, 27005 e 15999
    PROF. SÓCRATES FILHO – http://socratesfilho.wordpress.com

    1. GESTÃO DE SEGURANÇA DA INFORMAÇÃO SEGUNDO A NBR ISO/IEC


    27001:2006

    1.1 Objetivo

    Conforme já dito na aula anterior, a ISO/IEC 27001:2006 especifica os requisitos para


    estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um
    Sistema de Gestão de Segurança da Informação - SGSI documentado dentro do contexto dos
    riscos de negócio globais da organização. O SGSI é projetado para assegurar a seleção de
    controles de segurança adequados e proporcionados para proteger os ativos de informação e
    propiciar confiança às partes interessadas.
    Os requisitos definidos na norma são genéricos e devem ser aplicáveis a todas as
    organizações, independentemente de tipo, tamanho e natureza.

    1.2 Abordagem de processo de gestão do SGSI

    A abordagem de processo para a gestão da segurança da informação apresentada pela


    27001 encoraja que seus usuários enfatizem a importância de:
    a) entendimento dos requisitos de segurança da informação de uma organização e da
    necessidade de estabelecer uma política e objetivos para a segurança de informação;
    b) implementação e operação de controles para gerenciar os riscos de segurança da
    informação de uma organização no contexto dos riscos de negócio globais da organização;
    c) monitoração e análise crítica do desempenho e eficácia do SGSI; e
    d) melhoria contínua baseada em medições objetivas.

    A ISO/IEC 27001 adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), aplicado


    para estruturar todos os processos do SGSI, de forma que as entradas do processo são as
    expectativas e requisitos de segurança de informação da organização. Como saída desse
    processo, temos a Gestão da Segurança da Informação propriamente dita. Dessa maneira,
    essa norma foi projetada para permitir a uma organização alinhar ou integrar seu SGSI com
    requisitos de sistemas de gestão relacionados.

    3
    O conteúdo deste curso é de uso exclusivo de (NOME POR EXTENSO DO ALUNO) – (CPF DO
    ALUNO), vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia,
    divulgação, e distribuição, sujeitando-se os infratores à responsabilização civil e
    criminal.
    TI – GESTÃO DE SEGURANÇA DA INFORMAÇÃO – ISOs 27001, 27005 e 15999
    PROF. SÓCRATES FILHO – http://socratesfilho.wordpress.com

    4
    O conteúdo deste curso é de uso exclusivo de (NOME POR EXTENSO DO ALUNO) – (CPF DO
    ALUNO), vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia,
    divulgação, e distribuição, sujeitando-se os infratores à responsabilização civil e
    criminal.
    TI – GESTÃO DE SEGURANÇA DA INFORMAÇÃO – ISOs 27001, 27005 e 15999
    PROF. SÓCRATES FILHO – http://socratesfilho.wordpress.com

    Ciclo PDCA Etapa do processo Descrição


    Plan estabelecer o SGSI Estabelecer a política, objetivos, processos e
    (planejar) procedimentos do SGSI, relevantes para a
    gestão de riscos e a melhoria da segurança da
    informação para produzir resultados de acordo
    com as políticas e objetivos globais de uma
    organização.
    Do (fazer) implementar e operar o Implementar e operar a política, controles,
    SGSI processos e procedimentos do SGSI.
    Check monitorar e analisar Avaliar e, quando aplicável, medir o
    (checar) criticamente o SGSI desempenho de um processo frente à política,
    objetivos e experiência prática do SGSI e
    apresentar os resultados para a análise crítica
    pela direção.
    Act (agir) manter e melhorar o SGSI Executar as ações corretivas e preventivas, com
    base nos resultados da auditoria interna do
    SGSI e da análise crítica pela direção ou outra
    informação pertinente, para alcançar a melhoria
    contínua do SGSI.

    1.3 Aplicação da norma

    A ISO 27002 (antiga 17799) trazia recomendações de uso opcional, ou seja, não era
    obrigatório o uso de todas as suas diretrizes pelas instituições para que uma empresa possa
    implementar uma política de segurança da informação com eficácia.

    Entretanto, por se tratar de uma norma que estabeleceu critérios para certificação, para
    que uma empresa reivindique que está em conformidade com a ISO/IEC 27001, ela deve
    seguir todos os requisitos especificados em suas seções. A não conformidade em qualquer das
    seções, em regra, significa que a empresa não pode ser certificada como ISO 27001.

    Contudo, é possível que alguns dos controles necessários para satisfazer aos critérios de
    aceitação de riscos sejam excluídos, mas para isso, as exclusões precisam ser justificadas e as
    evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam
    ser fornecidas. Nesse caso, as reivindicações de conformidade com a 27001 só são aceitáveis
    se tais exclusões não afetarem a capacidade ou a responsabilidade da organização em prover
    o atendimento aos requisitos de segurança da informação.

    1.4 Sistema de gestão de segurança da informação (SGSI)

    Segundo a ISO/IEC 27001, a organização deve estabelecer, implementar, operar,


    monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto
    das atividades de negócio globais da organização e dos riscos que ela enfrenta.

    5
    O conteúdo deste curso é de uso exclusivo de (NOME POR EXTENSO DO ALUNO) – (CPF DO
    ALUNO), vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia,
    divulgação, e distribuição, sujeitando-se os infratores à responsabilização civil e
    criminal.

    Você também pode gostar