1

NBR ISO/IEC 27001SISTEMA DE GESTÃO

DE SEGURANÇA DA INFORMAÇÃO

FAZER UMA EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001 AFIM DE TORNAR CONHECIDO À TODOS PRESENTES A SUA FINALIDADE.

2/30

OBJETIVO

Introdução◦ Conceitos

Desenvolvimento◦ O que é a norma ISO 27001?◦ Para que serve?◦ Em que consiste?◦ Quais os benefícios para quem adotar?◦ Quanto tempo demora a preparação da certificação?◦ Alguns Objetivos de Controle e Controles

Conclusão Referências

3/30

Sumário

NBR ISO/IEC 270011. NBR -  Denominação de norma da Associação

Brasileira de Normas Técnicas (ABNT)2. ISO - Organização Internacional para

Padronização1. International Organization for Standardization

3. IEC - Comissão Eletrotécnica Internacional1.  International Electrotechnical Commission

4/30

Introdução

Família 27000 – ISO/IEC 27000 series - Descrição e Vocabulário

Organizações podem desenvolver e implementar uma estrutura para gerenciar a segurança de seus ativos de informação

Se preparar para uma avaliação independente do seu SGSI(Sistema de Gestão de Segurança da Informação) aplicado à proteção de informações

Normas1. ISO/IEC 27002:2005 - Código de Prática para Gestão da

Segurança da Informação2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança da

Informação3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI4. ISO/IEC 27014:2013 – Governança de segurança da

informação

5/30

Introdução

Publicado o código de prática pelo governo inglês

Publicado pelo BSI como BS 7799

1992 1995

1º Grande revisão da BS 7799

1999

Republicado como padrão Internacional

ISO/IEC 17799-1

2000

Publicada BS 7799-2

Especificação do SGSI

2002

Publicação BS 7799-2=ISO/IEC 27001

E NBR ISO/IEC 17799

2005

ABNT publica a NBR ISO/IEC 27001:2006

2006

ABNT publica a NBR ISO/IEC

27002:2007(Correção e Renomeação 17799-1)

2007 2013

27001:2013 substitui a 2005

6/30

Breve Histórico das Normas

Conceitos

◦ Sistema

Um conjunto de elementos inter-relacionados, cada qual desempenhando uma função, para, de forma integrada e coordenada, contribuir e garantir que o objetivo do sistema seja atingido – Teoria Geral dos Sistemas

7/30

Introdução

Introdução

Conceitos

◦ Gestão

São os mecanismos que têm de ser implantados para que tendências instintivas (naturais) originadas no auto-interesse das pessoas, sejam canalizadas para o interesse da empresa. - Clemente Nobrega

8/30

Introdução

Conceitos

◦ Segurança da Informação

Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. - ABNT NBR ISO/IEC 17799:2005

9/30

Introdução

Outros Conceitos◦ Risco

A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização -

◦ Ameaça Causa potencial de um incidente indesejado, que pode resultar

em dano para um sistema ou organização◦ Vulnerabilidade

Fraqueza de um ativo ou controle , que pode ser explorada por uma ameaça

◦ Impacto Mudança adversa no nível obtido dos objetivos de negócios

◦ Ativo Qualquer coisa que tenha valor para a organização

10/30

Introdução - Ecosistema de SI

11/30

Integrity

Responsibility

Confidentiality

Availability

Integrity

Information Security

Confidentiality

Authenticity Responsibility

Nonrepudiation

Confidentiality

Availability Integrity

Information Security

Reliability

Authenticity Responsibility

Nonrepudiation

PeopleProducts

Partners Process

Introdução – Visão Sistêmica

12/30

O que é a norma ISO 27001?

É um modelo/padrão e referência internacional para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.

13/30

Para que serve?

Para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.

É independente de fabricantes ◦ Se destina ao estabelecimento

Processos e Procedimento de acordo com realidade de cada organização

14/30

Em que consiste?

A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas:1. Onde são definidas as regras e os requisitos de

cumprimento da norma2. ANEXO A - Um conjunto de objetivos de controle e

controles que as organizações devem adotar – NORMATIVO

INFORMATIVOS1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A

COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e desta Norma

2. ANEXO C – Correspondência às Nomas ISO 9001 E 14001

15/30

Em que consiste?

16/30

ANEXO A-ISO27001:2006

Em que consiste?

17/30

ANEXO A-ISO27001:2006

Quais os benefícios para quem adoptar? Reduz o risco de responsabilidade por não

implantar um SGSI Identifica e corrige pontos fracos A alta direção assume a responsabilidade pela

SI Permite revisão independente do SGSI Oferece confiança aos stakeholders Melhor consciência sobre Segurança Combina recursos com outros sistemas de gestão Mecanismo para medir o sucesso

do Sistema

18/30

Quanto tempo demora para implementação do SGSI?

Varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano.

19/30

Política de segurança da informação◦ Prover uma orientação e apoio da direção para a

segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes

◦ Objetivos de Controle Documento da política de segurança da informação Análise crítica da política de segurança da

informação

20/30

Alguns Objetivos de Controle e Controles

21/30

Aspectos da gestão da continuidade do negócio, relativos à segurança da informação◦ Não permitir a interrupção das atividades do negócio e

proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.

◦ Objetivos de Controle Incluindo segurança da informação no processo de gestão

da continuidade de negócio Desenvolvimento e implementação de planos de

continuidade relativos à segurança da informação

22/30

Alguns Objetivos de Controle e Controles

Alguns Objetivos de Controle e Controles

23/30

Responsabilidades dos usuários ◦ Prevenir o acesso não autorizado dos usuários e

evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação

◦ Objetivos de Controle Uso de senha Política de mesa limpa e tela limpa

24/30

Alguns Objetivos de Controle e Controles

25/30

Prioridade!!!

26/30

Principal Desafio

27/30

A NORMA NBR ISO/IEC 27001 é um modelo/padrão de boa prática para se alcançar níveis de maturidade cada vez maiores na área de Segurança da Informação e atingir o objetivo de implementar um SGSI.

28/30

Conclusão

Normas da família 27000

29/30

Referências

30/30