GESTÃO DE

SEGURANÇA DA
INFORMAÇÃO
ABNT NBR ISO/IEC 27001
Introdução

 ISO (International Organization for Standardization) – formada por

entidades de padronização e normalização de diversos países do
mundo.
 Não se limitam em nenhum segmento, exceto engenharia eletrônica
e eletrotécnica, de responsabilidade da IEC (International
Eletrothecnical Commission).
 Foi criado em 1947, em Genebra, na Suiça.
 ISO vem da palavra “isonomia”.
 No Brasil, a entidade responsável por normalização é a ABNT.
Introdução

 O grupo internacional JTC1/SC27, formado pelas membros da ISO e

IEC, mantém normas internacionais de segurança da informação.
 No Brasil, o subcomitê da ABNT, chamado de CB021 traduz as normas
internacionais para o Brasil.
NBR ISO/IEC 27001

 A ABNT NBR ISO/IEC 27001:2006 é a norma usada para fins de

certificação e substitui a britânica BS7799-2:2002.
 Existe uma versão datada de 2005, a ABNT NBR ISO/IEC 27001:2005,
que sofreu revisão e teve erros de publicação corrigidos, por isso
existe a versão ABNT NBR ISO/IEC 27001:2006.
 A versão mais recente é a de 2013.
 Uma organização que deseja implantar um Sistema de Gestão de
Segurança da Informação (SGSI) deve adotar essa norma.
 Na prática, a norma é utilizada para fins de auditoria (e certificação)
de um SGSI.
ABNT NBR ISO/IEC 27001

0 – Introdução
1 – Objetivo
2 – Referências Normativas
3 – Termos e Definições
4 – Sistema de Gestão de Segurança da Informação
4.1 – Requisitos gerais
4.2 – Estabelecendo e gerenciando um SGSI
4.3 – Requisitos de documentação
5 – Responsabilidades da Direção
5.1 - Comprometimento da direção
ABNT NBR ISO/IEC 27001

5.2 - Gestão de recursos

6 – Auditoria Interna do SGSI
7 – Analise Crítica do SGSI
7.1 – Geral
7.2 – Entradas para análise crítica
7.3 – Saídas da análise crítica
8 – Melhoria do SGSI
8.1 – Melhoria Contínua
8.2 – Ação corretiva
8.3 – Ação preventiva
Introdução

 A norma adota o modelo PDCA para estruturar os processos do SGSI:

Introdução
1. Objetivo

 Cobre todos os tipos de organizações (por exemplo,

empreendimentos comerciais, agências governamentais,
organizações sem fins lucrativos). Requisitos genéricos.
 Se uma organização já tiver um sistema de gestão de processo de
negócio em operação (por exemplo, em relação com a ABNT NBR ISO
9001 ou ABNT NBR ISO 14001), é preferível na maioria dos casos
satisfazer os requisitos desta Norma dentro deste sistema de gestão
existente
 A exclusão de quaisquer requisitos especificados nas seções 4 a 8 não
é aceitável quando a organização reivindica conformidade com a
norma.
2. Referência normativa

 ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação – Técnicas

de segurança – Código de prática para a gestão da segurança da
informação.
 A 27001 depende da 27002 para aplicação dos controles e
atendimento dos requisitos.
3. Termos e definições

 Ativo: qualquer coisa que tenha valor para a organização [ISO/IEC

13335-1:2004]
 Segurança da informação: preservação da confidencialidade,
integridade e disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, não
repúdio e confiabilidade, podem também estar envolvidas [ABNT
NBR ISO/IEC 17799:2005
 Evento de segurança da informação: uma ocorrência identificada de
um estado de sistema, serviço ou rede, indicando uma possível
violação da política de segurança da informação ou falha de
controles, ou uma situação previamente desconhecida, que possa ser
relevante para a segurança da informação [ISO/IEC TR 18044:2004]
3. Termos e definições

 Incidente de segurança da informação: um simples ou uma série de

eventos de segurança da informação indesejados ou inesperados,
que tenham uma grande probabilidade de comprometer as
operações do negócio e ameaçar a segurança da informação [ISO/IEC
TR 18044:2004]
 SGSI: a parte do sistema de gestão global, baseado na abordagem de
riscos do negócio, para estabelecer, implementar, operar, monitorar,
analisar criticamente, manter e melhorar a segurança da informação
 Declaração de aplicabilidade: declaração documentada que descreve
os objetivos de controle e controles que são pertinentes e aplicáveis
ao SGSI da organização, bem como os controles não aplicáveis com as
respectivas justificativas.
4. Sistema de gestão de segurança da
informação
4.1 Requisitos gerais
 A organização deve estabelecer, implementar, operar, monitorar,
analisar criticamente, manter e melhorar um SGSI documentado
dentro do contexto das atividades de negócio globais da organização
e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo
usado está baseado no modelo de PDCA mostrado na figura 1.
4.2 Estabelecendo e gerenciando o SGSI
A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das características do
negócio, a organização, sua localização, ativos e tecnologia, incluindo
detalhes e justificativas para quaisquer exclusões do escopo
c) Definir a abordagem de análise/avaliação de riscos da organização.
4. Sistema de gestão de segurança da
informação
4.2.1 Estabelecer o SGSI
A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização,
ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2);
4.2.2 Implementar e operar o SGSI
a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos,
responsabilidades e prioridades para a gestão dos riscos de segurança (ver seção 5).
4.2.3 Monitorar e analisar criticamente o SGSI
A organização deve:
a) Executar procedimentos de monitoração e análise crítica e outros controles para:
1) prontamente detectar erros nos resultados de processamento;
2) prontamente identificar tentativas e violações de segurança bem-sucedidas, e incidentes de segurança da
informação;
4.2.4 Manter e melhorar o SGSI
A organização deve regularmente :
a) Implementar as melhorias identificadas no SGSI.
b) Executar as ações preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as lições aprendidas
de experiências de segurança da informação de outras organizações e aquelas da própria organização.
4. Sistema de gestão de segurança da
informação
Pontos-Chaves:

Plan: Estabelecer uma Política de Segurança e realizar uma análise e

avaliação de riscos.

Do: Tratamento dos riscos pela implementação dos controles.

Check: Estabelecimento de auditoria interna e Identificação de não

conformidades.

Act: Implementação de ações preventivas e corretivas.

4. Sistema de gestão de segurança da
informação
 4.3 Requisitos de documentação:
A documentação do SGSI deve incluir:
a) declarações documentadas da política (ver 4.2.1b)) e objetivos do SGSI;
b) o escopo do SGSI (ver 4.2.1a));
c) procedimentos e controles que apoiam o SGSI;
d) uma descrição da metodologia de análise/avaliação de riscos (ver 4.2.1c));
e) o relatório de análise/avaliação de riscos (ver 4.2.1c) a 4.2.1g));
f) o plano de tratamento de riscos (ver 4.2.2b));
g) procedimentos documentados requeridos pela organização para assegurar o planejamento
efetivo, a operação e o controle de seus processos de segurança de informação e para descrever
como medir a eficácia dos controles (ver 4.2.3c));
h) registros requeridos por esta Norma (ver 4.3.3); e
i) a Declaração de Aplicabilidade.
4.3.3 Controle de registros
Registros devem ser estabelecidos e mantidos para fornecer evidências de conformidade aos
requisitos e da operação eficaz do SGSI
Exemplos de registros são: livros de visitantes, relatórios de auditoria e formulários de
autorização de acesso preenchidos.
5. Responsabilidades da direção

 5.1 Comprometimento da direção

A Direção deve fornecer evidência do seu comprometimento com o
estabelecimento, implementação, operação, monitoramento, análise crítica,
manutenção e melhoria do SGSI mediante:
c) o estabelecimento de papéis e responsabilidades pela segurança de
informação;
a provisão de recursos suficientes para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar o SGSI (ver 5.2.1);
a definição de critérios para aceitação de riscos e dos níveis de riscos
aceitáveis;
h) a condução de análises críticas do SGSI pela direção (ver seção 7).
 5.2 Gestão de recursos
Subseção destinada a indicar o direcionamento para a provisão de recursos, o
que inclui treinamento a capacitação dos colaboradores.
5. Responsabilidades da direção

Observações:
 Enquanto a seção 4 trata de responsabilidades da organização ("a
organização deve"), a seção 5 trata de responsabilidades da Direção.
 Devendo a direção evidenciar o comprometimento com a EIOMAMM
do SGSI.
 Uma característica importante nesta seção é a definição do apetite
de riscos da organização.
 Também é realizada a atribuição de responsabilidades para todos os
níveis.
6. Auditorias internas do SGSI

A organização deve conduzir auditorias internas do SGSI a intervalos

planejados para determinar se os objetivos de controle, controles,
processos e procedimentos do seu SGSI:
a) atendem aos requisitos desta Norma e à legislação ou regulamentações
pertinentes;
b) atendem aos requisitos de segurança da informação identificados;
c) estão mantidos e implementados eficazmente; e
d) são executados conforme esperado.
NOTA A ABNT NBR ISO 19011:2002 – Diretrizes para auditorias de
sistema de gestão da qualidade e/ou ambiental – pode prover uma
orientação útil para realizar auditorias internas do SGSI.
6. Auditorias internas do SGSI

Observações:
 Não é definido uma periodicidade para realização de auditorias.
 A organização deve conduzir as auditorias, todavia, quem desenha o
controle não deve ser quem audita o controle.
 A gerencia responsável pela área deve assegurar que as ações sejam
executadas a fim de eliminar as não-conformidades.
7. Análise crítica do SGSI pela direção

7.1 Geral
A direção deve analisar criticamente o SGSI da organização a intervalos planejados
(pelo menos uma vez por ano) para assegurar a sua contínua pertinência,
adequação e eficácia
7.2 Entradas para a análise crítica
As entradas para a análise crítica pela direção devem incluir:
d) situação das ações preventivas e corretivas;
e) vulnerabilidades ou ameaças não contempladas adequadamente nas
análises/avaliações de risco anteriores;
i) recomendações para melhoria.
7.3 Saídas da análise crítica
a) Melhoria da eficácia do SGSI.
b) Atualização da análise/avaliação de riscos e do plano de tratamento de riscos.
c) Modificação de procedimentos e controles que afetem a segurança da
informação
7. Análise crítica do SGSI pela direção

Observações:
 Entradas para analise crítica: informações
 Saídas da análise crítica: decisões
8. Melhoria do SGSI

8.1 Melhoria contínua

A organização deve continuamente melhorar a eficácia do SGSI por meio do
uso da política de segurança da informação, objetivos de segurança da
informação, resultados de auditorias, análises de eventos monitorados, ações
corretivas e preventivas e análise crítica pela direção (ver seção 7).
8.2 Ação corretiva
A organização deve executar ações para eliminar as causas de não-
conformidades com os requisitos do SGSI, de forma a evitar a sua repetição. O
procedimento documentado para ação corretiva deve definir requisitos para:
a) identificar não-conformidades;
b) determinar as causas de não-conformidades;
e) registrar os resultados das ações executadas (ver 4.3.3); e
8. Melhoria do SGSI

8.3 Ação preventiva

A organização deve determinar ações para eliminar as causas de não-
conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua
ocorrência. As ações preventivas tomadas devem ser apropriadas aos impactos
dos potenciais problemas. O procedimento documentado para ação preventiva
deve definir requisitos para:
a) identificar não-conformidades potenciais e suas causas;
b) avaliar a necessidade de ações para evitar a ocorrência de não-
conformidades;
d) registrar os resultados de ações executadas (ver 4.3.3);

NOTA Ações para prevenir não-conformidades frequentemente têm

melhor custo-benefício que as ações corretivas.
Anexos

 Anexo A: Objetivos de controle e controles da 27002

 Anexo B: Glossário com Informações de Segurança da Informação da
OECD, uma organização da ONU que trata de cooperação de
desenvolvimento econômico. Possui um glossário com termos e um
comparativo da norma.
 Anexo C: quadro comparativo da estrutura das normas com a 27001,
a 9001 e a 14001. Mostra que todas usam o Ciclo PDCA, portanto,
suas estruturas são similares.