ctd - clubmaxi todo · pdf fileiso 27002 – é um guia de ... continuidade do...

SEGURANÇA FÍSICA & LÓGICA DE REDES

Material Complementar de Estudos

2

O que é a Organização ISO

A ISO - Internacional Organization for

Stardardization - é maior organização para

Desenvolvimento e publicação de normas. Fazem o

Relacionamento entre os órgãos nacionais de

Organização não governamental, que forma uma

Ponte entre os setores público e privado. Sediada em

Genebra, na Suíça e fundada em 1946.

• Mais de 160 países integram a

Organização internacional, especializada em

Padronização e cujos membros. O Brasil é

Representado pela Associação Brasileira de normas

Técnicas – ABNT

• O propósito da ISO é desenvolver e promover Normas

que possam ser utilizadas igualmente por todos os países

do mundo.

As normas para segurança da informação

Adotadas e traduzidas pela ABNT, denominando-se:

• NBR ISO/IEC 27001:2005 –Tecnologia da

Informação –Técnica de segurança-Código de

Prática para Gestão de Segurança da informação

Situação no Brasil

Neste treinamento estas normas serão tratadas

Respectivamente por ISO 27001 e ISO 27002.

A norma ISO 27001 refere-se a quais requisitos de Sistemas de gestão

da informação devem ser Implementados pela organização;

ISO27002 é um Guia que orienta a utilização de controle de segurança

da informação .Esta normas são genéricas por natureza

• NBR ISO/IEC 27001:2006-Tecnologia da

Informação-Técnica de segurança – Sistema de Gestão de Segurança

da informação - Requisitos

Outras normas da família 27000:

• ISO/IEC 27000:2009 - Information tecnology – Security techniques –Information Security management

systems –OVERVIEW AND VOCABULARY

• ISO/IEC27005/;2008 – Information tecnoligy –SECURITY TECHNIQUES – Information

Securty Risck Management

• ISO/IEC27006:2007-Information techology-Security techniques - Requirementes for bodies providing

auditanda certification of information security Management systems

Evolução

As principais recomendações da NBR ISO IEC 17799 estão detalhadas nas 11 seções abaixo, totalizando

39 categorias principais de SI:

• Política de Segurança da Informação;

• Organizando a Segurança da Informação;

• Gestão de Ativos;

• Segurança em Recursos Humanos;

• Segurança Física e do Ambiente;

• Gerenciamento das Operações e Comunicações;

• Controle de Acesso;

• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;

• Gestão de Incidentes de Segurança da Informação;

• Gestão da Contunuidade de Negócios;

• Conformidade.

Introdução: Segurança da Informação

A “mãe” ISO/IEC 17799

ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação – requisitos; mas conhecido como "ISO 27001".

A norma ISO 27001:2005 é a evolução natural da norma BS7799-2:2002, sendo essa um padrão britânico que trata da definição de requisitos para um Sistema de Gestão de Segurança da Informação

“O requisito de segurança da informação não é só a segurança FÍSICA e LÓGICA como dizem em outros modelos de gestão, ela é: Física, Técnica, Procedimental (organizacionais) e em Pessoas – ISO/IEC-27002”

Introdução: Segurança da Informação

A família ISO/IEC 27000

A ISO 27001 combina recursos com outros Sistemas de Gestão, isso é, se a organização já é certificada em ISO 9001 o SGSI poderá utilizar processos já implantados pela ISO 9001.

ISO 27000 – Vocabulário e definições que serão utilizadas pelas restantes normas. Glossário de Segurança da Informação.

ISO 27001 – Define os requisitos que devem ser cumpridos para a certificação de um SGSI. O quê uma empresa deve cumprir/ter para estar de acordo com a ISO. “Certified to company”.

ISO 27002 – É um guia de boas práticas para se atuar uma empresa onde exista um SGSI. “Certified to person”

ISO 27003 – É um guia para implantação dos requisitos exigidos a ISO27001. Diz, COMO FAZER.

Introdução: Segurança da Informação

A família ISO/IEC 27000

ISO 27004 – Define como medir e quais são os meios para saber a eficiência de um SGSI, ou seja, avalia se a empresa está seguindo ou não a ISO27001 através de relatórios.

ISO 27005 - Orientações para Gestão de Riscos

ISO 27006 – Guia para entidades de auditoria além de planejar a continuidade do negócio para Desaster and Recovery.

Introdução: Segurança da Informação

A família ISO/IEC 27000

ISO/IEC 27002:2005-Tecnologia da informação –Técnica de

Segurança –Código de Prática para Gestão de Segurança da

Informação.

• Baseada na BS 7799-1:1999

• Utilização como documentos de referência

• Fornece um conjunto completo de controles de Segurança

• Baseada nas melhores práticas de segurança da Informação

• Consiste em 11 capítulos (mais um Capitulo introdutório

sobre avaliação e tratamento de risco), 39 objetivos de

controle e 133 controles

• Não pode ser usada em auditorias e certificações

ISO/IEC 27002:2005 – Código de Prática para SGSI

SÃO

Uma metodologia estruturada reconhecida

Internacionalmente, dedicatória à segurança da Informação

UM processo definido para avaliar, implementar, manter e

gerenciar a segurança da informação

Um grupo completo de controles contendo as melhores práticas

para segurança da Informação (SGSI)

Não são

Dirigidas para produtos ou tecnologia

Uma metodologia para avaliação de equipamentos

A ISO 27002 e a ISO 27001

• A ISO 27002 define as melhores práticas para a Gestão da segurança da

informação

• A ISO27001 considera:segurança física, técnica, Procedimentos para

pessoal

• Sem um sistemas de Gestão da segurança da Informação formal, existe um

brande risco a Segurança ser quebrada

• A segurança da informação é um processo de Gestão,

não é um processo tecnológico

• A ISO 27001 é a única norma internacional que pode ser

auditada por uma terceira parte

A ISO 27002 e a ISO 27001

• A incorporam um processo do escalonamento de risco e valorização de ativos

• O grau em que os sistema é formal e contém processos estruturados irá facilitar a

Replicação do sistema de um local para outro

• O investimento no compromisso da direção e em treinamentos dos funcionários

Reduz a probabilidade de ameaças bem sucedidas

• A infra-estrutura (sistemas de gestão e processos) pode ser desenvolvida

Centralmente e então desdobrada globalmente

• Controles adicionais podem ser incorporados ao SGSI se assim for desejado

Visão Geral ISO 27002 e ISO 27001

Razões para se adotar

• Dificuldade na direção do escopo

• Dificuldade para desenvolver uma abordagem

Sistemática ,simples e clara para a Gestão de risco

• Mesmo existindo Planos de continuidade de

Negócio, raramente eles são testando de alguma forma

• Designação da área de TI como responsável por

Desenvolvimento o projeto

• Falta de visão em “mente aberta” ao estabelecer os

Parâmetros dos controles identificados na forma

• Falta de ação para identificar e usar controles fora de forma

• Limitação de orçamento

Desafios na Implantação de SGSI

• Reduz o risco de responsabilidade pela não implementação de um SGSI ou

• Oportunidade de identificar e corrigir pontos fracos

• A altar direção assume a responsabilidade pela segurança da informação

• Permite revisão independente do Sistema de Gestão da segurança da informação

• Oferece confiança aos parceiros comerciais,partes interessadas e clientes

• Melhor conscientização sobre segurança

• Combina recursos com outros Sistemas de Gestão

• Mecanismo par medir o sucesso do sistema

Benefícios na implantação das ISO 27001/2

Salvaguardar a

Confidencialidade, Integridade

e Disponibilidade da

Informação escrita, falada e

Eletrônica; em coerência com a

Autenticidade e Legalidade.

====== “CIDAL”

Meta das NBR ISO/IEC 27002 e 27001