Gestão da

Segurança da
Informação

Aula 10

Mairum Ceoldo Andrade

 Conteúdo
• Segurança da Informação Segundo a NBR
ISO/IEC 27001 e 27002

– Introdução à ABNT NBR ISO/IEC 27000

– Normas ABNT NBR ISO/IEC 27001

– Normas ABNT NBR ISO/IEC 27002

– ITIL

2
 Normas de Segurança da Informação

• 27000 – Descrição e Vocabulário – proporciona

terminologia e correspondência entre as normas
27000.
• 27001 – Requisitos SGSI – proporciona os
fundamentos de um SGSI
• 27002 – Código de práticas – proporciona as
melhores praticas de controle para implantação
do SGSI.
• 27003 – Guia para implantação – proporciona
diretrizes detalhadas para a implantação de um
SGSI
3
 Normas de Segurança da Informação
• 27004 – Proporciona a metodologia para a mediação da
efetividade do SGSI (27001) e dos controles (27002)
• 27005 - Gestão de riscos – proporciona uma
metodologia para uso do SGSI (27001)
• 27006 - Requisitos para Acreditação – proporciona os
requisitos para acreditação de organismos de
certificação e de auditores para fins de certificação de
SGSI (27001)
• 27007 – Orientações para Gestão de Auditoria de
Sistemas de Segurança da Informação.
• 27008 – Orientações para Auditores de Sistema de
Segurança da Informação.

4
 Normas ABNT NBR ISO/IEC 27001

• A ABNT NBR ISO/IEC 27001 tem como

objetivo especificar requisitos para o
estabelecimento, implementação, operação,
monitoração, análise crítica, manutenção e
melhoria de um Sistema de Gestão de
Segurança da Informação (SGSI).

• Todas as indicações devem ser

implantadas.
5
 Normas ABNT NBR ISO/IEC 27001
• A adoção de um SGSI deve ser uma decisão estratégica para
a organização.
• A especificação e implementação do SGSI são influenciadas
pela necessidades e objetivos, requisitos de segurança,
processos empregados e tamanho e estrutura da
organização.
• É esperado que este sistema de apoio mudem com o passar
do tempo.
• É esperado que implementação de um SGSI seja escalada
conforme as necessidades da organização, por exemplo,
uma situação simples requer uma solução de um SGSI
simples.
• Esta Norma pode ser usada para avaliar a conformidade
pelas partes interessada internas e externas.

6
Normas ABNT NBR ISO/IEC 27001

7
 Normas ABNT NBR ISO/IEC 27001
• Norma 27001 contém objetivos de controle que constam na
ISO/IEC 27002:
1. políticas de segurança;
2. organização da segurança da informação;
3. gerenciamento de ativos;
4. segurança de recursos humanos;
5. segurança física e de ambientes;
6. gerenciamento de comunicação e operações
7. controle de acesso;
8. aquisição, desenvolvimento e manutenção de sistemas de
informação;
9. gerenciamento de incidentes de segurança de informação;
10. gerenciamento de continuidade do negócio;
11. Compliance.

8
 Normas ABNT NBR ISO/IEC 27002

• NBR ISO/IEC 27002 – Código de Pratica

para a Gestão de Segurança da
Informação.

• “Estabelecer diretrizes e princípios gerais

para iniciar, implementar, manter e melhorar
a gestão de segurança da informação em
uma organização”.

9
 Normas ABNT NBR ISO/IEC 27002

• Política de Segurança da Informação:

deve ser formalizada através de um
documento e comunicada a todos de forma
clara. Da mesma forma, tal política deve ser
revisada periodicamente a fim de se
analisar os padrões estabelecidos, se
permanecerão ou deverão ser
alterados/substituídos/extintos.

10
 Normas ABNT NBR ISO/IEC 27002
• Physical and Environmental securit
– Physical access to premises and support infrastructure (communications, power, air conditioning etc.)
must be monitored and restricted to prevent, detect and minimize the effects of unauthorized and
inappropriate access, tampering, vandalism, criminal damage, theft etc.
– The list of people authorized to access secure areas must be reviewed and approved periodically (at
least once a year) by Administration or Physical Security Department, and cross-checked by their
departmental managers.
– Photography or video recording is forbidden inside Restricted Areas without prior permission from the
designated authority.
– Suitable video surveillance cameras must be located at all entrances and exits to the premises and
other strategic points such as Restricted Areas, recorded and stored for at least one month, and
monitored around the clock by trained personnel.
– Access cards permitting time-limited access to general and/or specific areas may be provided to
trainees, vendors, consultants, third parties and other personnel who have been identified,
authenticated, and authorized to access those areas.
– Other than in public areas such as the reception foyer, and private areas such as rest rooms, visitors
should be escorted at all times by an employee while on the premises.
– The date and time of entry and departure of visitors along with the purpose of visits must be recorded
in a register maintained and controlled by Site Security or Reception.
– Everyone on site (employees and visitors) must wear and display their valid, issued pass at all times,
and must present their pass for inspection on request by a manager, security guard or concerned
employee.
– Access control systems must themselves be adequately secured against unauthorized/inappropriate
access and other compromises.
– Fire/evacuation drills must be conducted periodically (at least once a year).
– Smoking is forbidden inside the premises other than in designated Smoking Zones.

11
 ITIL
• Principal metodologia para Governança de TI.
• Gestão de serviços de TI.
• Garante a Segurança da Informação nos níveis
estratégicos, tático e operacional.

12
 ITIL

• Políticas: indica os objetivos gerais que a

organização pretende atingir.
• Processos: o que precisa ser feito para os
objetivos serem atingidos.
• Procedimentos: descreve quem faz o que
e quando para que os objetivos sejam
atingidos.
• Instruções de Trabalho: passo-a-passo
para executar ações específicas.
13
 Gestão da
Segurança da
Informação

Atividade 10

Mairum Ceoldo Andrade

 Pergunta 1/2
Analise as seguintes afirmativas sobre gestão de
segurança da informação:
i.A lei Sarbanes-Oxley visa garantir a transparência na gestão
fnanceira das organizações e a credibilidade de suas informações.
ii.A norma ISO/IEC 27001 foi elaborada para prover um modelo de
sistema de gestão de segurança da informação (SGSI) e também
para avaliar a conformidade deste pelas partes interessadas internas
e externas.
iii.A norma NBR ISO/IEC 27002 sugere métricas e relatórios para um
sistema de gestão de segurança da informação (SGSI).
Assinale a alternativa VERDADEIRA:
i.Apenas as afirmativas I e II estão corretas.
ii.Apenas as afirmativas II e III estão corretas.
iii.Apenas as afirmativas I e III estão corretas.
iv.Todas as afirmativas estão corretas.
15
 Pergunta 1/2
Analise as seguintes afirmativas sobre gestão de
segurança da informação:
i.A lei Sarbanes-Oxley visa garantir a transparência na gestão
financeira das organizações e a credibilidade de suas informações.
ii.A norma ISO/IEC 27001 foi elaborada para prover um modelo de
sistema de gestão de segurança da informação (SGSI) e também
para avaliar a conformidade deste pelas partes interessadas internas
e externas.
iii.A norma NBR ISO/IEC 27002 sugere métricas e relatórios para um
sistema de gestão de segurança da informação (SGSI).
Assinale a alternativa VERDADEIRA:
i.Apenas as afirmativas I e II estão corretas.
ii.Apenas as afirmativas II e III estão corretas.
iii.Apenas as afirmativas I e III estão corretas.
iv.Todas as afirmativas estão corretas.
16
 Pergunta 2/2

• Qual a relação do ITIL e a segurança

computacional?

17
 Pergunta 2/2

• Qual a relação do ITIL e a segurança

computacional?

– ITIL é um padrão de governança de TI que

estabelece políticas, processos e
procedimentos para garantir a
disponibilidade e continuidade de serviço
que se relacionam diretamente com a
segurança.

18