certificacao iso 27001
TRANSCRIPT
Processo de Implementação e Certificação da ISO 27001
• A - BS ISO / IEC 27001:2005 (ISO 27001) - Tecnologia da informação - Técnicas de segurança - Requisitos ISMS
• B - BS ISO / IEC 27002:2005 (ISO 27002) - Tecnologia da informação - Técnicas de segurança - Código de prática para a Gestão de Segurança da Informação
Referências
Hoje no Brasil quais são as normas para Sistema de Segurança da Informação?
• As Normas para segurança da informação foram adotadas e traduzidas pela ABNT recebendo a denominação de:
• NBR ISO/IEC 27001:2006 – Sistema de Gestão de Segurança da Informação.
• NBR ISO/IEC 27002:2005 – Código de Práticas para Gestão de Segurança da Informação.
A norma ISO 27001 refere-se à quais requisitos de sistemas de gestão da informação devem ser implementados pela organização e a ISO 27002 é um guia que orienta a utilização de controles de segurança da informação. Estas normas são genéricas por natureza.
ISO 27001- Geral• “Esta Norma foi preparada para prover um modelo para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. É esperado que este e os sistemas de apoio mudem com o passar do tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo,uma situação simples requer uma solução de um SGSI simples.”
• “Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.”
Visão Geral da ISO 27001
• Incorporar um processo de escalonamento de risco e valorização de ativos.
• O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro.
• O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas.
• A infraestrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente
• Controles adicionais podem ser incorporados ao ISMS se assim for desejado.
Razões para se adotar a ISO 27001• Governança Corporativa.
• Melhoria da eficácia da Segurança da Informação.
• Diferencial de mercado.
• Atender os requisitos de partes interessadas e dos clientes.
• Única norma com aceitação global.
• Redução potencial no valor do seguro.
• Focada nas responsabilidades dos funcionários.
• A norma cobre TI bem como a organização, pessoal e instalações.
• Conformidade com as legislações.
Dificuldades para Implementação de um ISMS• Dificuldade na definição do escopo.
• Dificuldade para desenvolver uma abordagem sistemática simples e clara para Gestão de Risco.
• Mesmo existindo Plano de Continuidade de Negócios, raramente eles são testados de alguma forma.
• Designação da área de TI como responsável por desenvolver o projeto.
• Falta de visão e “mente aberta”ao estabelecer os parâmetros dos controles identificados na norma.
• Falta de ação para identificar e usar controles fora da norma
• Limitação de orçamento.
Benefícios da Implementação da ISO 27001• Reduz o risco de responsabilidade pela
implementação ou determinação de políticas e procedimentos.
• Oportunidade de identificar e corrigir pontos fracos.
• A alta direção assume a responsabilidade pela segurança da informação.
• Oferecer confiança aos parceiros comerciais, partes interessadas e clientes.
• Melhorar a conscientização sobre segurança.
• Combinar recursos com outros Sistemas de Gestão.
• Mecanismo para se medir o sucesso do sistema.
ISO 27001 - ISO 27001 - RoteiroRoteiro
A ISO 27001 fornece um modelo para estabelecimento, implementação, operação, monitoração, revisão, manutenção e melhoria de um Sistema de Gestão da Segurança (ISMS).
A adoção de um ISMS deve ser uma decisão estratégica para a empresa. O desenho e implementação do ISMS de uma empresa é influenciado por suas necessidades e objetivos, requisitos de segurança, processos utilizados o tamanho e a estrutura da empresa.
Estes e seus sistemas de apoio devem mudar ao longo do tempo. Espera-se que a Implementação de um SGSI seja dimensionada de acordo com as necessidades da empresa, Por exemplo, uma situação simples requer um ISMS de solução simples.
O Padrão ISO 27001 pode ser usado em ordem para avaliar a conformidade por partes interessadas internas e externas.
ISO 27001
ISO 27001 – Âmbito
A ISO 27002 é o Código de prática para a Gestão de Segurança da Informação e estabelece diretrizes e princípios gerais para iniciação,implementação,manutenção e melhoria da gestão de segurança da informação em uma organização.
Os objetivos definidos na Norma Internacional fornecem orientações gerais sobre os objetivos comumente aceitos de gestão de segurança da informação.
Os objetivos de controle e os controles da Norma se destinam a ser implementadas para atender aos requisitos identificados por uma avaliação de risco.
O padrão pode servir como uma prática orientação para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gestão de segurança e para ajudar a construir confiança nas atividades inter organizacionais.
ISO 27002
ISO 27002 - Âmbito
A Gestão deve apoiar ativamente a segurança dentro da organização através de uma direção clara, demonstrando empenho, atribuição explícita, e reconhecimento das responsabilidades de segurança da informação.
A Gestão deve aprovar a política de segurança da informação, Atribuir funções de segurança e coordenar a implementação e revisão de segurança em toda a organização.
Documentos de Saída: Plano de Negócios
Apoio da Gestão
Apoio da Gestão
Definir o escopo e os limites do ISMS em termos de características do negócio, a organização, a sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do âmbito.
Qualquer exclusão de controles necessárias para satisfazer os critérios de aceitação de risco precisa ser justificada.Definir o escopo
Definindo o Escopo
Todos os ativos devem ser claramente identificados e uma inventário de todos os ativos importantes deve ser elaborado e mantido.
O inventário de ativos deve incluir todas as informações necessárias para recuperação de um desastre, a seguir: Tipo de ativo; Formato (ou seja, informações, software,
materiais, serviços, pessoas, bens intangíveis) Localização; Informações de backup; Informações sobre a licença; Valor do negócio.
Inventáriode Ativos
Inventário de Ativos
Avaliações de riscos devem identificar,quantificar e priorizar os riscos em relação a critérios para aceitação de riscos de acordo com os objetivos relevantes para a organização.
Os resultados devem orientar e determinar a ação de gestão adequadas e prioridades para o gerenciamento de riscos de segurança da informação e para implementar controles selecionados para proteger contra esses riscos.
O processo de avaliar riscos e selecionar controles pode precisar que seja realizado em um número x de vezes para cobrir diferentes partes da organização ou sistemas de informação individuais.
Avaliação dos riscos deve incluir a abordagem sistemática de estimar a magnitude dos riscos (análise de risco) e o processo de comparação aos riscos estimados com base em critérios de risco para determinar o significado dos riscos (Avaliação de risco).
A avaliação de riscos de segurança deve ter uma âmbito claramente definido, a fim de ser eficaz e deve incluir relações com avaliações de risco em outras áreas, se for o caso.
Avaliação de risco e Conduta deSegurança
Avaliação de Risco
A Declaração de Aplicabilidade (SOA) é um documento que lista informações dos objetivos de controle da segurança e controles de uma organização.
O SOA é derivado a partir dos resultados da avaliação de risco, Onde: Tratamentos de risco foram selecionados; Todos os requisitos legais e regulamentares
pertinentes tenham sido identificados; As obrigações contratuais são totalmente compreendidas;
Uma revisão da organização precisa para o próprio negócio e requisitos foi realizada.
Declaração deAplicabilidade
Declaração de Aplicabilidade
A organização deve formular um plano de tratamento de risco (RTP) Que identifica a ação de gestão apropriada, recursos, responsabilidades e prioridades para o gerenciamento de riscos de segurança da informação.
A RTP deve ser inserida no contexto da política de segurança da informação da organização e deve identificar claramente o abordagem ao risco e os critérios para aceitação de risco.
O RTP é o documento-chave que liga todas as quatro fases do ciclo (PDCA) Plan, Do, Check, Act para o ISMS.
Plano de Tratamento dos Riscos
Plano de Tratamento de Risco
O "Plan-Do-Check-Act" modelo (PDCA) é aplicado para estruturar todos os processos do ISMS.
O diagrama ilustra como um ISMS toma como entrada as informações sobre os requisitos de segurança e expectativas dos interessados e através das ações e os processos necessários produz resultados de gestão de segurança de informação que atendem aquelas exigências e expectativas.
Modelo PCDA
Plano (Estabelecer o ISMS) Estabelecer a política do ISMS, objetivos, processos e
procedimentos relevantes para a gestão do risco e melhorar a segurança da informação para fornecer resultados de acordo com as políticas globais de uma organização e seus objetivos.
Fazer (Implementar e operar o ISMS) Implementar e operar a política do ISMS, controles,
processos e procedimentos.
Verificar (Monitor e rever o ISMS) Avaliar, quando aplicável, a medida de desempenho do
processo contra a política ISMS, objetivos e experiências práticas e relatar os resultados da gestão para a revisão.
Agir (Manter e melhorar o ISMS) Tomar ações corretivas e preventivas, com base nos
resultados do ISMS de auditoria interna e revisão da gestão ou outras informações relevantes, para alcançar a melhoria contínua do ISMS.
Modelo PDCA
Implementar o plano de tratamento de riscos a fim de alcançar os objetivos de controle identificados, o que inclui a consideração de financiamento e alocação de papéis e responsabilidades.
Implementar controles selecionados instituídos durante o ISMS para atender os objetivos de controle.
Definir a forma de medir a eficácia dos controles para permitir que os gerentes e funcionários determinem o quão bem controles planejados tiveram os seus objetivos alcançados.
Implementar programas de treinamento e conscientização.
Desenvolver o ISMSe Implementação
do programa
Implementação do Programa ISMS
É importante ser capaz de demonstrar a relação dos controles selecionados com os resultados da avaliação de riscos e processo de tratamento de risco, e posteriormente, de volta para a política do SGSI e objetivos.
A documentação do SGSI deve incluir: Declarações documentadas da política ISMS e
objetivos;
O escopo do SGSI; Procedimentos e controles, em apoio do ISMS; A descrição da metodologia de avaliação de
risco; O relatório de avaliação de risco; O plano de tratamento de riscos; Procedimentos documentados requeridos pela
organização para assegurar o planejamento, operação e controle de seus processos de segurança da informação e descrever como medir a eficácia dos controles;
Registros requeridos pela Norma; A Declaração de Aplicabilidade.
Sistema de Gerenciamento
De Segurança da Informação (ISMS)
O ISMS
A Alta Gestão examinará o ISMS da organização em intervalos planejados (pelo menos uma vez por ano) para assegurar sua contínua pertinência, adequação e eficácia.
Esta revisão deve incluir a avaliação de oportunidades de melhoria e a necessidade de mudanças para o ISMS, incluindo a política de segurança da informação e os objetivos de segurança da informação.
Os resultados das análises devem ser claramente documentados e os registros devem ser mantidos.
Esta é realizada durante o 'Check' fase do ciclo PDCA e quaisquer ações corretivas adequadamente administrados.
Ações corretivas
Análise deConformidade
Análise de conformidade e Ações Corretivas
Antes da auditoria externa o conselheiro de segurança da informação devem executar uma revisão abrangente do ISMS e SOA.
A auditoria não pode ocorrer até que tenha passado tempo suficiente para a organização demonstrar o cumprimento do ciclo PDCA total e com a cláusula 8 da ISO 27001, a exigência de melhoria contínua.
Os auditores vão estar procurando provas de que o ISMS continua melhorando, não apenas que ele foi implementado.
Avaliação de
Avaliação de Pré-certificação
Certificação envolve a avaliação do ISMS da organização. A certificação ISMS assegura que a organização executou uma avaliação de riscos e identificou e implementou um sistema de controles de gestão adequados às necessidades de segurança da informação do negócio.
Evidência de que uma organização está em conformidade com a norma, e toda a documentação complementar, serão apresentados na forma de um documento de certificação ou certificado.
Os organismos de certificação devem assegurar-se que a organização de informações e avaliação adequada de risco de segurança refletem suas atividades comerciais que se estende até os limites e interfaces de suas atividades, conforme definido no padrão.
Os organismos de certificação devem confirmar que isso se reflete na organização do plano de tratamento de risco e sua Declaração de Aplicabilidade.
Auditoria de
Certificação
Auditoria de Certificação
A organização deve melhorar continuamente a eficácia do SGSI através do uso de: A política de segurança da informação;
Objetivos de segurança de informação;
Resultados da auditoria;
Análise de eventos monitorados;
Ações corretivas e preventivas;
Gestão de revisão.
MelhoriaContinua
Auditoria de Certificação