Boas práticas para Segurança da Informação

Aluno: Daniel H. Acorsi AlvesOrientador: Mario Lemes Proença Jr.

Sumário

1. Objetivos2. Conceitos de Segurança da Informação3. Família de Normas ISO/IEC 270004. ISO/IEC 270025. ISO/IEC 270016. ISM³7. ISM³ vs ISO/IEC 270018. Conclusão

Objetivos

• O que é Segurança da Informação?• Porque da necessidade de Segurança da

Informação?• Como Estabelecer Requisitos de Segurança da

Informação?• Quais são as principais normas que tratam da

Segurança da Informação?

Conceitos de Segurança da Informação

Conceitos de Segurança da Informação

Família de Normas ISO/IEC 27000

Família de Normas ISO/IEC 27000

ISO/IEC 27002

• Código de Boas-Práticas para a Gestão da Segurança da Informação;

• Dividida em 11 Cláusulas/Capítulos + 1 capítulo introdutório sobre avaliação e tratamento de risco.o No total são 39 objetivos de controle e 139 controles.

• Baseada na Analise/Avaliação de Risco;

ISO/IEC 27002

• Genéricao Diz o que tem que ser feito,

mas não como tem que ser feito.

• Considera Processos, Pessoas, Ambiente e Tecnologias.

ISO/IEC 27002

ISO/IEC 27001

• Prove requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.

• Aplicada a qualquer tipo/tamanho de organização.

• Organizações podem obter certificado.

ISO/IEC 27001

ISO/IEC 27001

• Fase “Plan” o Definir o escopo do SGSI.o Definir uma politica para o SGSI.o Definir Objetivos de metas.o Identificar e avaliar os riscos.o Selecionar Objetivos de controle e controles.o Preparar a declaração de aplicabilidade.

• Fase “Do” o Formular e implementar um plano de tratamento de risco.o Implementar os controles selecionados para atingir os objetivos de

controle.

ISO/IEC 27001

• Fase “Check”o Executar monitoramento dos processos.o Conduzir auditorias internas do SGSI em intervalos planejados.o Realizar análise críticas regulares da eficácia do SGSI.o Analisar criticamente os níveis de risco residual e riscos aceitáveis.

• Fase “Act”o Implementar as melhorias identificadas.o Tomar ações corretivas e preventivas apropriadas.o Comunicar os resultados e ações.o Garantir que as melhorias atendem aos objetivos pretendidos.

ISM³

• Framework para Sistemas de Gestão da Segurança da informação.

• Baseado em Níveis de maturidade.• Construído a partir das Melhores ideias de

sistemas de gestão e controles da ISO 9000, ITIL, CMMI, ISSO 27001.

• Abordagem orientada a Processos.o São 44 processos no total.o Práticas: Genéricas, Estratégicas, Táticas e Operacionais.

ISM³

• Defini Métricas para cada processo.• Business Friendly.• Adaptável.• Flexível.• Padrão Aberto.• Grande Número de referências.

ISM³ vs ISO/IEC 27001

Conclusão

• A segurança da informação é necessária a todas organizações independentemente de seu tamanho ou setor de atuação.

• A segurança da informação eficaz depende de um SGSI bem comunicado, documentado e consistente.

• Deve-se reconhecer o potencial do ISM3, como um complemento para padrões que tratam da gestão de segurança da informação.