SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

1

Profissional

◦ Professor Diretor de Comunicação – SUCESU CEARÁ

◦ Estudante independente em Governança, Risco e Compliance

Formação

◦ FIC

Superior de Formação Específica em Projetos e Implementação de Redes de Computadores

Tecnólogo em Redes de Computadores

◦ FATENE

MBA em Gerência de Redes de Computadores e Telecomunicações

Certificações ITIL OSA INTERMEDIATE

ISO 27002 Foundation

ITIL Foundation V2/V3

ISO 20000 Foundation

MTA Security Fundamentals

FAZER UMA EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001 AFIM DE TORNAR CONHECIDO À TODOS PRESENTES A SUA FINALIDADE.

3/30

Introdução ◦ Conceitos

Desenvolvimento ◦ O que é a norma ISO 27001? ◦ Para que serve? ◦ Em que consiste? ◦ Quais os benefícios para quem adotar? ◦ Quanto tempo demora a preparação da certificação? ◦ Alguns Objetivos de Controle e Controles

Conclusão Referências

4/30

NBR ISO/IEC 27001 1. NBR - Denominação de norma da Associação

Brasileira de Normas Técnicas (ABNT)

2. ISO - Organização Internacional para Padronização

1. International Organization for Standardization

3. IEC - Comissão Eletrotécnica Internacional

1. International Electrotechnical Commission

5/30

Família 27000 – ISO/IEC 27000 series - Descrição e Vocabulário Organizações podem desenvolver e implementar uma

estrutura para gerenciar a segurança de seus ativos de informação

Se preparar para uma avaliação independente do seu SGSI(Sistema de Gestão de Segurança da Informação) aplicado à proteção de informações

Normas 1. ISO/IEC 27002:2005 - Código de Prática para Gestão da

Segurança da Informação 2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança

da Informação 3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI 4. ISO/IEC 27014:2013 – Governança de segurança da

informação

6/30

Publicado o código de prática pelo governo inglês

Publicado pelo BSI como BS 7799

1992 1995

1º Grande revisão da BS 7799

1999

Republicado como padrão Internacional

ISO/IEC 17799-1

2000

Publicada BS 7799-2

Especificação do SGSI

2002

Publicação BS 7799-2=ISO/IEC 27001

E NBR ISO/IEC 17799

2005

ABNT publica a NBR ISO/IEC 27001:2006

2006

ABNT publica a NBR ISO/IEC

27002:2007(Correção e Renomeação 17799-1)

2007 2013

27001:2013 substitui a 2005

7/30

Conceitos

◦ Sistema

Um conjunto de elementos inter-relacionados, cada qual desempenhando uma função, para, de forma integrada e coordenada, contribuir e garantir que o objetivo do sistema seja atingido – Teoria Geral dos Sistemas

8/30

Conceitos

◦ Gestão

São os mecanismos que têm de ser implantados para que tendências instintivas (naturais) originadas no auto-interesse das pessoas, sejam canalizadas para o interesse da empresa. - Clemente Nobrega

9/30

Conceitos

◦ Segurança da Informação

Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. - ABNT NBR ISO/IEC 17799:2005

10/30

Outros Conceitos ◦ Risco

A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização -

◦ Ameaça Causa potencial de um incidente indesejado, que pode

resultar em dano para um sistema ou organização ◦ Vulnerabilidade

Fraqueza de um ativo ou controle , que pode ser explorada por uma ameaça

◦ Impacto Mudança adversa no nível obtido dos objetivos de negócios

◦ Ativo Qualquer coisa que tenha valor para a organização

11/30

12/30

Integrity

Responsibility

Confidentiality

Availability Integrity

Information

Security

Confidentiality

Authenticity Responsibility

Non repudiation

Confidentiality

Availability Integrity

Information Security

Reliability

Authenticity Responsibility

Non

repudiation

People Products

Partners Process

13/30

É um modelo/padrão e referência internacional para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.

14/30

Para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.

É independente de fabricantes ◦ Se destina ao estabelecimento

Processos e Procedimento de acordo com realidade de cada organização

15/30

A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: 1. Onde são definidas as regras e os requisitos de

cumprimento da norma 2. ANEXO A - Um conjunto de objetivos de controle e

controles que as organizações devem adotar – NORMATIVO

INFORMATIVOS 1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A

COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e desta Norma

2. ANEXO C – Correspondência às Nomas ISO 9001 E 14001

16/30

17/30

ANEXO A-ISO27001:2006

18/30

ANEXO A-ISO27001:2006

Reduz o risco de responsabilidade por não implantar um SGSI

Identifica e corrige pontos fracos

A alta direção assume a responsabilidade pela SI

Permite revisão independente do SGSI

Oferece confiança aos stakeholders

Melhor consciência sobre Segurança

Combina recursos com outros sistemas de gestão

Mecanismo para medir o sucesso do Sistema

19/30

Varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano.

20/30

Política de segurança da informação ◦ Prover uma orientação e apoio da direção para a

segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes

◦ Objetivos de Controle

Documento da política de segurança da informação

Análise crítica da política de segurança da informação

21/30

22/30

Aspectos da gestão da continuidade do negócio, relativos à segurança da informação ◦ Não permitir a interrupção das atividades do

negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.

◦ Objetivos de Controle

Incluindo segurança da informação no processo de gestão da continuidade de negócio

Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação

23/30

24/30

Responsabilidades dos usuários ◦ Prevenir o acesso não autorizado dos usuários e

evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação

◦ Objetivos de Controle

Uso de senha

Política de mesa limpa e tela limpa

25/30

26/30

Prioridade!!!

27/30

28/30

A NORMA NBR ISO/IEC 27001 é um modelo/padrão de boa prática para se alcançar níveis de maturidade cada vez maiores na área de Segurança da Informação e atingir o objetivo de implementar um SGSI.

29/30

Normas da família 27000

30/30

31/30