iso27001 sgsi
Post on 29-Jun-2015
426 Views
Preview:
TRANSCRIPT
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
1
Profissional
◦ Professor Diretor de Comunicação – SUCESU CEARÁ
◦ Estudante independente em Governança, Risco e Compliance
Formação
◦ FIC
Superior de Formação Específica em Projetos e Implementação de Redes de Computadores
Tecnólogo em Redes de Computadores
◦ FATENE
MBA em Gerência de Redes de Computadores e Telecomunicações
Certificações ITIL OSA INTERMEDIATE
ISO 27002 Foundation
ITIL Foundation V2/V3
ISO 20000 Foundation
MTA Security Fundamentals
FAZER UMA EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001 AFIM DE TORNAR CONHECIDO À TODOS PRESENTES A SUA FINALIDADE.
3/30
Introdução ◦ Conceitos
Desenvolvimento ◦ O que é a norma ISO 27001? ◦ Para que serve? ◦ Em que consiste? ◦ Quais os benefícios para quem adotar? ◦ Quanto tempo demora a preparação da certificação? ◦ Alguns Objetivos de Controle e Controles
Conclusão Referências
4/30
NBR ISO/IEC 27001 1. NBR - Denominação de norma da Associação
Brasileira de Normas Técnicas (ABNT)
2. ISO - Organização Internacional para Padronização
1. International Organization for Standardization
3. IEC - Comissão Eletrotécnica Internacional
1. International Electrotechnical Commission
5/30
Família 27000 – ISO/IEC 27000 series - Descrição e Vocabulário Organizações podem desenvolver e implementar uma
estrutura para gerenciar a segurança de seus ativos de informação
Se preparar para uma avaliação independente do seu SGSI(Sistema de Gestão de Segurança da Informação) aplicado à proteção de informações
Normas 1. ISO/IEC 27002:2005 - Código de Prática para Gestão da
Segurança da Informação 2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança
da Informação 3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI 4. ISO/IEC 27014:2013 – Governança de segurança da
informação
6/30
Publicado o código de prática pelo governo inglês
Publicado pelo BSI como BS 7799
1992 1995
1º Grande revisão da BS 7799
1999
Republicado como padrão Internacional
ISO/IEC 17799-1
2000
Publicada BS 7799-2
Especificação do SGSI
2002
Publicação BS 7799-2=ISO/IEC 27001
E NBR ISO/IEC 17799
2005
ABNT publica a NBR ISO/IEC 27001:2006
2006
ABNT publica a NBR ISO/IEC
27002:2007(Correção e Renomeação 17799-1)
2007 2013
27001:2013 substitui a 2005
7/30
Conceitos
◦ Sistema
Um conjunto de elementos inter-relacionados, cada qual desempenhando uma função, para, de forma integrada e coordenada, contribuir e garantir que o objetivo do sistema seja atingido – Teoria Geral dos Sistemas
8/30
Conceitos
◦ Gestão
São os mecanismos que têm de ser implantados para que tendências instintivas (naturais) originadas no auto-interesse das pessoas, sejam canalizadas para o interesse da empresa. - Clemente Nobrega
9/30
Conceitos
◦ Segurança da Informação
Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. - ABNT NBR ISO/IEC 17799:2005
10/30
Outros Conceitos ◦ Risco
A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização -
◦ Ameaça Causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou organização ◦ Vulnerabilidade
Fraqueza de um ativo ou controle , que pode ser explorada por uma ameaça
◦ Impacto Mudança adversa no nível obtido dos objetivos de negócios
◦ Ativo Qualquer coisa que tenha valor para a organização
11/30
12/30
Integrity
Responsibility
Confidentiality
Availability Integrity
Information
Security
Confidentiality
Authenticity Responsibility
Non repudiation
Confidentiality
Availability Integrity
Information Security
Reliability
Authenticity Responsibility
Non
repudiation
People Products
Partners Process
13/30
É um modelo/padrão e referência internacional para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.
14/30
Para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.
É independente de fabricantes ◦ Se destina ao estabelecimento
Processos e Procedimento de acordo com realidade de cada organização
15/30
A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: 1. Onde são definidas as regras e os requisitos de
cumprimento da norma 2. ANEXO A - Um conjunto de objetivos de controle e
controles que as organizações devem adotar – NORMATIVO
INFORMATIVOS 1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A
COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e desta Norma
2. ANEXO C – Correspondência às Nomas ISO 9001 E 14001
16/30
17/30
ANEXO A-ISO27001:2006
18/30
ANEXO A-ISO27001:2006
Reduz o risco de responsabilidade por não implantar um SGSI
Identifica e corrige pontos fracos
A alta direção assume a responsabilidade pela SI
Permite revisão independente do SGSI
Oferece confiança aos stakeholders
Melhor consciência sobre Segurança
Combina recursos com outros sistemas de gestão
Mecanismo para medir o sucesso do Sistema
19/30
Varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano.
20/30
Política de segurança da informação ◦ Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes
◦ Objetivos de Controle
Documento da política de segurança da informação
Análise crítica da política de segurança da informação
21/30
22/30
Aspectos da gestão da continuidade do negócio, relativos à segurança da informação ◦ Não permitir a interrupção das atividades do
negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
◦ Objetivos de Controle
Incluindo segurança da informação no processo de gestão da continuidade de negócio
Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
23/30
24/30
Responsabilidades dos usuários ◦ Prevenir o acesso não autorizado dos usuários e
evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação
◦ Objetivos de Controle
Uso de senha
Política de mesa limpa e tela limpa
25/30
26/30
Prioridade!!!
27/30
28/30
A NORMA NBR ISO/IEC 27001 é um modelo/padrão de boa prática para se alcançar níveis de maturidade cada vez maiores na área de Segurança da Informação e atingir o objetivo de implementar um SGSI.
29/30
Normas da família 27000
30/30
31/30
top related