Seminário Anual 2013

A NP ISO/IEC 27001:2013 e a certificação de

Sistemas de Gestão da Segurança de Informação

Sub-título da Apresentação

Data

NP ISO/IEC 27001:2013

Norma Portuguesa de

Segurança de

Informação

Paulo Coelho

4 de dezembro de 2013

Secretário

Comissão Técnica 163

Seminário Anual 2013

A NP ISO/IEC 27001:2013 e a certificação de

Sistemas de Gestão da Segurança de Informação

2Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Primeira norma portuguesa de segurança de informação

Primeira norma nacional alinhada com a nova edição da ISO/IEC 27001

3Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Porque publicar a ISO/IEC 27001 como NP? Promover a implementação da ISO/IEC 27001 em

Portugal

o Alguns países com uma forte implementação da ISO/IEC 27001 possuem traduções nacionais (e.g. Japão, Espanha, Brasil)

Disponibilizar uma norma portuguesa que possa ser referenciada em iniciativas de conformidade

Padronizar a terminologia portuguesa de segurança de informação

4Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Instituições certificadas ISO/IEC 27001 em PT

0

5

10

15

20

25

30

35

40

2006 2007 2008 2009 2010 2011 2012

Fonte: ISO Survey of Management System (2012)

5Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Critérios de tradução

Na tradução foi empregue, sempre que aplicável, os termos

das seguintes Normas Portuguesas:

NP ISO 31000:2012 - Gestão do risco - Princípios e linhas de

orientação

NP EN ISO 9001:2008 - Sistema de Gestão da Qualidade

NP 3003-8:2003 - Vocabulário - Parte 8: Segurança

Em caso de dúvida foi consultado:

Glossário da Sociedade da Informação, APDSI

6Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Correspondência entre termos

A norma possui um anexo com a correspondência entre os

termos em inglês e em português

Termo em Inglês Termo em Português Fonte

Authorities Autoridades competentes

Backup Salvaguarda NP 3003-8:2003

Clear desk Secretária limpa

Contractor Prestador de serviço

7Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Publicada em 14 de

Outubro de 2013

Disponível no site

do IPQ

8Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Quais as principais novidades da nova

edição?

9Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Hhhhh

(NP) ISO/IEC 27001

Cláusulas

• Objetivo e campo de aplicação

• Contexto da organização

• Liderança

• Planeamento

• Suporte

• Operação

• Avaliação de desempenho

• Melhoria

Controlos

• Novos domínios

• Criptografia

• Segurança de operações

• Segurança de comunicações

• Relações com fornecedores

• Novos controlos

Alinhamento com a (NP) ISO 31000

Alinhamento com Anexo SL do ISO/IEC

Directives

Simplificação nos controlos

10Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Alteração nas cláusulas

11Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Variaveis externas

Ambiente regulamentar

Requisitos de

segurançaPartes

interessadas

(e.g. Clientes,

Reguladores)

Contexto da

organizaçãoCapacidade de

atingir objectivos

de segurança

Identificar todas as partes interessadas e os seus requisitos de segurança

Analisar os condicionalismos que influenciam a capacidade de protecção

da organização

4. Contexto da organização

Variaveis internas

Postura face ao risco

Processos

12Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Para delimitar o âmbito do sistema de

gestão é necessário atender a:

Requisitos das partes interessadas

Características da organização e o

seu contexto

Interfaces e dependências entre as

atividades desempenhadas pela

organização, e aquelas que são

desempenhadas por outras

organizações

Adicionalmente é necessário identificar

os processos subcontratados

4. Contexto da organização

Organização

Âmbito SGSI

Entidades Terceiras

13Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

5. Liderança

Versão 2005

Papel da gestão de topo

Versão 2013

Aprovar politíca do SGSI

Aprovar riscos residuais

Authorizar implementar e operar o

SGSI

Determinar se as actividades de

segurança estão a ser realizadas

conforme definido

A gestão de topo deve:

demonstrar liderança e

comprometimento para com o sistema

de gestão de segurança

apoiando outras funções de gestão

relevantes

A gestão de topo passa a ter um maior papel de governança, de criar

condições para a gestão de segurança

14Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

5. Liderança

Política de segurança

da informação

Política de segurança de informação:

Substitui a “Politica do SGSI”

Deixa de ser necessário incluir o alinhamento

com a gestão de risco

Objetivos de segurança devem ser compatíveis

com o propósito de negócio da organização

15Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

6.1.2 Avaliação do risco de segurança da

informação

Versão 2005 Versão 2013

Ativos

Ameaças

VulnerabilidadeRiscos

Impacto na

Confidencialidade,

Integridade e

Disponibilidade

Impacto na

Confidencialidade,

Integridade e

Disponibilidade

16Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

6.1.2 Avaliação do risco de segurança da

informação

Fase Alteração

Identificação de riscos Eliminação de referência à ameaças,

vulnerabilidades e ativos

Basta identificar riscos relacionados com perdas de

confidencialidade, integridade e disponibilidade

Ownership do risco O asset owner deixa de intervir na gestão do risco. É

o responsável pelos riscos que aprova o plano de

tratamento do risco e aceita os riscos residuais

Tratamento do risco Não se enuncia as várias opções de tratamento (e.g.

mitigação, transferência)

Selecção de controlos Pode-se usar qualquer referencial, interno ou

externo, desde que se mapeia os controlos com o

Anexo A da norma

17Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

6.2 Objetivos de segurança da informação e

planeamento para os alcançar

A organização deve elaborar planos para concretizar os objetivos de

segurança que definiu

Objetivos de segurança devem ser:

Mensuráveis (se exequível)

Considerar requisitos de segurança e resultados da avaliação do risco

Serem atualizados (regularmente)

Possui o seguinte detalhe:

Planos de acção para concretizar objectivos

Atividades Recursos Responsável Datas Como os resultados serão avaliados

18Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

9. Avaliação de desempenho

Avaliação de desempenho

Monitorização, medição,

análise e avaliaçãoAuditoria interna Revisão pela gestão

A monitorização deve incluir:

Objecto Recolha Análise

• Processos de segurança

• Controlos de segurança

Métodos e frequência de

recolha de dados

Frequência e quem analisa

os dados recolhidos

19Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

10. Melhoria

Versão 2005 Versão 2013

Acções

corretivas

Acções

corretivas

Acções

preventivas

Na nova edição, as medidas preventivas são eliminadas, sendo o seu papel

desempenhado pelas “oportunidades” para melhoria contínua que são

identificadas aquando do planeamento do sistema de gestão de segurança

da informação

20Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Alteração nos controlos

21Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Alterações nos controlos

ISO/IEC 27001:2005

ISO/IEC 27001:2013 14 domínios

11 domínios

114 controlos

133 controlos

22Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

A5. Políticas de segurança da informação

A6. Organização de segurança da informação

A7. Segurança na gestão de recursos humanos

A8. Gestão de ativos

A9. Controlo de acesso

A10. Criptografia

A11. Segurança física e ambiental

A12. Segurança de operações

A.13 Segurança de comunicações

A14. Aquisição, desenvolvimento e manutenção de

sistemas

A15. Relações com fornecedores

A16. Gestão de incidentes de segurança da

informação

A17. Aspetos de segurança da informação na gestão

da continuidade do negócio

A18. Conformidade

A5. Security policy

A6. Organization of information security

A8. Human resources security

A7. Asset management

A.11 Access control

A.9 Physical and environmental security

A.10 Communications and operations managements

A.10 Communications and operations management

A.12 Information systems acquisition, development and

maintenance

A.13 Information security incident management

A.14 Business continuity management

A.15 Compliance

Versão 2013 Versão 2005

Novos domínios

23Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

6.1.5

Segurança da

informação na gestão

de projeto

9.2.4

Utilização da informação

secreta para

autenticação

14.2.1

Política de

desenvolvimento seguro

14.2.3

Revisão técnica de

aplicações após

alterações na

plataforma de produção

14.2.5

Princípios de

engenharia de sistemas

seguros

14.2.6

Ambiente de

desenvolvimento seguro

14.2.7

Desenvolvimento

subcontratado

15.1.1

Política de segurança

da informação

para as relações com

fornecedores

15.1.3

Cadeia de fornecimento

de tecnologias

de informação e

comunicação

16.1.5

Resposta a incidentes

de segurança da

informação

17.1.2

Implementação da

continuidade de

segurança da

informação

17.2.1

Disponibilidade dos

recursos de

processamento da

informação

Novos controlos

24Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Conclusões

A NP ISO/IEC 27001 assegura:

Maior alinhamento com outras normas de sistemas de gestão

(e.g. ISO 9001)

Maior flexibilidade na gestão do risco

Uma lista de controlos mais concisa, mais ajustada aos desafios

atuais

25Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação