ctd - clubmaxi todo · pdf fileiso 27002 – é um guia de ... continuidade do...
TRANSCRIPT
SEGURANÇA FÍSICA & LÓGICA DE REDES
Material Complementar de Estudos
2
O que é a Organização ISO
A ISO - Internacional Organization for
Stardardization - é maior organização para
Desenvolvimento e publicação de normas. Fazem o
Relacionamento entre os órgãos nacionais de
Organização não governamental, que forma uma
Ponte entre os setores público e privado. Sediada em
Genebra, na Suíça e fundada em 1946.
• Mais de 160 países integram a
Organização internacional, especializada em
Padronização e cujos membros. O Brasil é
Representado pela Associação Brasileira de normas
Técnicas – ABNT
• O propósito da ISO é desenvolver e promover Normas
que possam ser utilizadas igualmente por todos os países
do mundo.
As normas para segurança da informação
Adotadas e traduzidas pela ABNT, denominando-se:
• NBR ISO/IEC 27001:2005 –Tecnologia da
Informação –Técnica de segurança-Código de
Prática para Gestão de Segurança da informação
Situação no Brasil
Neste treinamento estas normas serão tratadas
Respectivamente por ISO 27001 e ISO 27002.
A norma ISO 27001 refere-se a quais requisitos de Sistemas de gestão
da informação devem ser Implementados pela organização;
ISO27002 é um Guia que orienta a utilização de controle de segurança
da informação .Esta normas são genéricas por natureza
• NBR ISO/IEC 27001:2006-Tecnologia da
Informação-Técnica de segurança – Sistema de Gestão de Segurança
da informação - Requisitos
Outras normas da família 27000:
• ISO/IEC 27000:2009 - Information tecnology – Security techniques –Information Security management
systems –OVERVIEW AND VOCABULARY
• ISO/IEC27005/;2008 – Information tecnoligy –SECURITY TECHNIQUES – Information
Securty Risck Management
• ISO/IEC27006:2007-Information techology-Security techniques - Requirementes for bodies providing
auditanda certification of information security Management systems
Evolução
As principais recomendações da NBR ISO IEC 17799 estão detalhadas nas 11 seções abaixo, totalizando
39 categorias principais de SI:
• Política de Segurança da Informação;
• Organizando a Segurança da Informação;
• Gestão de Ativos;
• Segurança em Recursos Humanos;
• Segurança Física e do Ambiente;
• Gerenciamento das Operações e Comunicações;
• Controle de Acesso;
• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
• Gestão de Incidentes de Segurança da Informação;
• Gestão da Contunuidade de Negócios;
• Conformidade.
Introdução: Segurança da Informação
A “mãe” ISO/IEC 17799
ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação – requisitos; mas conhecido como "ISO 27001".
A norma ISO 27001:2005 é a evolução natural da norma BS7799-2:2002, sendo essa um padrão britânico que trata da definição de requisitos para um Sistema de Gestão de Segurança da Informação
“O requisito de segurança da informação não é só a segurança FÍSICA e LÓGICA como dizem em outros modelos de gestão, ela é: Física, Técnica, Procedimental (organizacionais) e em Pessoas – ISO/IEC-27002”
Introdução: Segurança da Informação
A família ISO/IEC 27000
A ISO 27001 combina recursos com outros Sistemas de Gestão, isso é, se a organização já é certificada em ISO 9001 o SGSI poderá utilizar processos já implantados pela ISO 9001.
ISO 27000 – Vocabulário e definições que serão utilizadas pelas restantes normas. Glossário de Segurança da Informação.
ISO 27001 – Define os requisitos que devem ser cumpridos para a certificação de um SGSI. O quê uma empresa deve cumprir/ter para estar de acordo com a ISO. “Certified to company”.
ISO 27002 – É um guia de boas práticas para se atuar uma empresa onde exista um SGSI. “Certified to person”
ISO 27003 – É um guia para implantação dos requisitos exigidos a ISO27001. Diz, COMO FAZER.
Introdução: Segurança da Informação
A família ISO/IEC 27000
ISO 27004 – Define como medir e quais são os meios para saber a eficiência de um SGSI, ou seja, avalia se a empresa está seguindo ou não a ISO27001 através de relatórios.
ISO 27005 - Orientações para Gestão de Riscos
ISO 27006 – Guia para entidades de auditoria além de planejar a continuidade do negócio para Desaster and Recovery.
Introdução: Segurança da Informação
A família ISO/IEC 27000
ISO/IEC 27002:2005-Tecnologia da informação –Técnica de
Segurança –Código de Prática para Gestão de Segurança da
Informação.
• Baseada na BS 7799-1:1999
• Utilização como documentos de referência
• Fornece um conjunto completo de controles de Segurança
• Baseada nas melhores práticas de segurança da Informação
• Consiste em 11 capítulos (mais um Capitulo introdutório
sobre avaliação e tratamento de risco), 39 objetivos de
controle e 133 controles
• Não pode ser usada em auditorias e certificações
ISO/IEC 27002:2005 – Código de Prática para SGSI
SÃO
Uma metodologia estruturada reconhecida
Internacionalmente, dedicatória à segurança da Informação
UM processo definido para avaliar, implementar, manter e
gerenciar a segurança da informação
Um grupo completo de controles contendo as melhores práticas
para segurança da Informação (SGSI)
Não são
Dirigidas para produtos ou tecnologia
Uma metodologia para avaliação de equipamentos
A ISO 27002 e a ISO 27001
• A ISO 27002 define as melhores práticas para a Gestão da segurança da
informação
• A ISO27001 considera:segurança física, técnica, Procedimentos para
pessoal
• Sem um sistemas de Gestão da segurança da Informação formal, existe um
brande risco a Segurança ser quebrada
• A segurança da informação é um processo de Gestão,
não é um processo tecnológico
• A ISO 27001 é a única norma internacional que pode ser
auditada por uma terceira parte
A ISO 27002 e a ISO 27001
• A incorporam um processo do escalonamento de risco e valorização de ativos
• O grau em que os sistema é formal e contém processos estruturados irá facilitar a
Replicação do sistema de um local para outro
• O investimento no compromisso da direção e em treinamentos dos funcionários
Reduz a probabilidade de ameaças bem sucedidas
• A infra-estrutura (sistemas de gestão e processos) pode ser desenvolvida
Centralmente e então desdobrada globalmente
• Controles adicionais podem ser incorporados ao SGSI se assim for desejado
Visão Geral ISO 27002 e ISO 27001
Razões para se adotar
• Dificuldade na direção do escopo
• Dificuldade para desenvolver uma abordagem
Sistemática ,simples e clara para a Gestão de risco
• Mesmo existindo Planos de continuidade de
Negócio, raramente eles são testando de alguma forma
• Designação da área de TI como responsável por
Desenvolvimento o projeto
• Falta de visão em “mente aberta” ao estabelecer os
Parâmetros dos controles identificados na forma
• Falta de ação para identificar e usar controles fora de forma
• Limitação de orçamento
Desafios na Implantação de SGSI
• Reduz o risco de responsabilidade pela não implementação de um SGSI ou
• Oportunidade de identificar e corrigir pontos fracos
• A altar direção assume a responsabilidade pela segurança da informação
• Permite revisão independente do Sistema de Gestão da segurança da informação
• Oferece confiança aos parceiros comerciais,partes interessadas e clientes
• Melhor conscientização sobre segurança
• Combina recursos com outros Sistemas de Gestão
• Mecanismo par medir o sucesso do sistema
Benefícios na implantação das ISO 27001/2
Salvaguardar a
Confidencialidade, Integridade
e Disponibilidade da
Informação escrita, falada e
Eletrônica; em coerência com a
Autenticidade e Legalidade.
====== “CIDAL”
Meta das NBR ISO/IEC 27002 e 27001