![Page 1: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/1.jpg)
Administração e segurança de redes
Aula 07
Políticas de segurança – Implementação
Prof. Diovani Milhorim
11/04/23Créditos Prof. Msc.
Ronei Ferrigolo
Auditoria e Segurança
![Page 2: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/2.jpg)
Normas
NBR ISO/IEC 270012006 e 17799:2005 - Visão Geral Histórico Introdução às normas Segurança da informação ISO 27001
• SGSI• Responsabilidades da direção• Auditorias internas• Análise Crítica do SGSI• Sistema de melhoria contínua
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 3: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/3.jpg)
Histórico 1995: publicada a primeira versão da BS 7799-1 (BS
7799-1:1995 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)
1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso)
1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)
2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000)
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 4: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/4.jpg)
Histórico
- 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)
- 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso).
- Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005)
- Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos).
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 5: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/5.jpg)
Introdução às Normas
Norma 27001Provê um modelo de sistema de gestão
da segurança da informação (SGSI)Permite a certificação de uma
organização segundo seu referencialBaseia-se na abordagem de processo
• Aplica um sistema de processos, junto com a identificação e interação destes processos e asua gestão
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 6: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/6.jpg)
Introdução às Normas
Norma 27001Encoraja o uso do modelo PDCA
• Entendimento dos requisitos e necessidade de PSI
• Implementação e operação de controles• Monitoração e análise crítica• Melhoria contínua
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 7: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/7.jpg)
Introdução às Normas
Norma NBR ISO/IEC 17799:2005 TI – Código de Prática para gestão da
segurança da informação Estabelece diretrizes e princípios gerais para
implantar um SGSI. Não permite a certificação de uma organização
em relação ao seu modelo de referência Prescreve práticas para
a) Política de Segurança da Informaçãob) Organização da infra-estrutura da informaçãoc) Gestão de ativos
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 8: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/8.jpg)
Introdução às Normas
Prescreve práticas para (continuação)d) Segurança em recursos humanos
e) Segurança física e do ambiente
f) Gerenciamento das operações e comunicações
g) Controle de Acessos
h) Aquisição, desenv. e manutenção de SI
i) Gestão de incidentes de SI
j) Gestão de continuidade de negócios
k) Conformidade11/04/23
Créditos Prof. Msc. Ronei Ferrigolo
Auditoria e Segurança
![Page 9: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/9.jpg)
SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Partes Interessadas Organização
Expectativas e requisitosde segurança da informação
Segurança da informação gerenciada
PlanEstabeleceSGSI
DoImplementae Opera
CheckMonitora e Analisa criticamente
ActMantém e melhora
NBR ISO/IEC 17799:2005
![Page 10: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/10.jpg)
SGSI
• A organização deve estabelecer, implementar e operar, monitorar e analisar criticamente um SGSI
• Documentado• Contextualizado em relação ao
negócio• Contextualizado em relação aos
riscos• Baseado no modelo PDCA
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 11: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/11.jpg)
SGSI - Plan
• Estabece a PSI, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da SI para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
PlanEstabeleceSGSI
![Page 12: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/12.jpg)
Estabelecendo e Gerenciando o SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
PlanEstabeleceSGSI
Escopo e os limites
PSI Abordagem
Análise de Risco
IdentificaRiscos
Analisa e Avalia
Riscos
Opções tratamento
riscos
Seleciona objetivos de
controle e risco
Aprova com diretoria riscos
residuais
Autoriza com diretoria implem.
operação SGSI
Declaração Aplicabilidade
![Page 13: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/13.jpg)
SGSI - Do
• Implementar e operar a política, controles, processos e procedimentos do SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
DoImplementae Opera
![Page 14: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/14.jpg)
Implementar e operar o SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Plano tratam de
Riscos
Implem. Plano trat.
Riscos
ImplementaControles
selecionados
Define medição da eficácia
dos controles
Conscientização e treinamento
Gerenciar as Operações
do SGSI
Gerenciar os recursos
para SGSI
Controles para Detecção Eventos
DoImplementae Opera
![Page 15: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/15.jpg)
SGSI - Check
• Avaliar, e quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para análise crítica pela direção
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
CheckMonitora e Analisa criticamente
![Page 16: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/16.jpg)
Monitorar e analisar criticamente (AC) o SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Executar Procedim
Monitoração
AC regulareseficácia
Medir Eficácia
controles
AC as Análise de
Risco
Auditar internamente
AC do SGSI pela Direção
Atualizar Planos de
segurança
Registrar ações e eventos com
Impacto no SGSI
Check
![Page 17: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/17.jpg)
SGSI - Act
• Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
ActMantém e melhora
![Page 18: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/18.jpg)
Manter e melhorar o SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Implementar Melhorias
identificadas
Executar ações preventivas e
corretivas
Comunicar ações de melhoria (obter
concordância?)
Assegurar Atingimento dos
obj. pretendidos
Act
![Page 19: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/19.jpg)
SGSI - Controles
• Documentos• Protegidos e controlados• Aprovados, analisados criticamente,
íntegros, disponíveis, identificados e com a confidencialidade garantida
• Prevenido o uso não intencional• Registros
• Estabelecidos e mantidos para fornecer evidências da operação eficaz do SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 20: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/20.jpg)
Responsabilidades da direção
• Comprometimento da direção com o PDCA do SGSI deve ser evidente
• Determinar e prover os recursos para o PDCA do SGSI, inclusive fazendo análise crítica do mesmo
• Garantir as condições para treinamento, conscientização e determinação das competências de todo o pessoal com responsabilidades no SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 21: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/21.jpg)
Auditorias internas
• Auditorias internas a intervalos planejados para determinar se os controles planejados:
• Atendem os requisitos da norma e legislação• Atendem requisitos de segurança identificados• São mantidos e implementados com eficácia• São executados conforme esperado
• Seguir regras básicas de auditoria• Devem ser conduzidas a partir de procedimentos
documentados
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 22: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/22.jpg)
Análise Crítica do SGSI
• A direção deve realizar AC do SGSI a intervalos planejados, pelo menos 1 vez por ano e com resultados documentados
• Entradas• Resultados das auditorias internas,• Feedback das partes interessadas, • Técnicas e produtos atualizados• Situação das ações preventivas e corretivas• Vulnerabilidades e ameaças• Resultados da eficácia das medições• Acompanhamento das ACs anteriores• Mudanças que possam afetar o SGSI• Recomendações externas para melhoria
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 23: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/23.jpg)
Análise Crítica do SGSI• Saídas (decisões e ações relativas a)
• Melhoria da eficácia do SGSI• Atualização da análise/avaliação de riscos• Modificações em procedimentos• Necessidades de recursos• Melhoria na forma como a eficácia dos
controles está sendo medida
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
![Page 24: Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo](https://reader036.vdocuments.com.br/reader036/viewer/2022062404/552fc0fd497959413d8bae54/html5/thumbnails/24.jpg)
Sistema de melhoria contínua
• Continuamente deve melhorar a eficácia a partir de ações corretivas e preventivas
• Corretivas• Buscam eliminar as causas de não-
conformidades atuais do SGSI de forma a evitar sua repetição
• Preventivas• Buscam eliminar as causas de não-
conformidades potenciais do SGSI, de forma a evitar sua ocorrência.
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança