SEGURANAFSICA & LGICA DE REDES Contedo finalMaterial Complementar de Estudos

INCIO > 24 aula

*O que a Organizao ISO A ISO - Internacional Organization forStardardization - maior organizao paraDesenvolvimento e publicao de normas. Fazem oRelacionamento entre os rgos nacionais deOrganizao no governamental, que forma umaPonte entre os setores pblico e privado. Sediada emGenebra, na Sua e fundada em 1946.Mais de 160 pases integram aOrganizao internacional, especializada emPadronizao e cujos membros. O Brasil Representado pela Associao Brasileira de normasTcnicas ABNTO propsito da ISO desenvolver e promover Normas que possam ser utilizadas igualmente por todos os pases do mundo.

As normas para segurana da informaoAdotadas e traduzidas pela ABNT, denominando-se: NBR ISO/IEC 27001:2005 Tecnologia daInformao Tcnica de segurana-Cdigo de Prtica para Gesto de Segurana da informaoSituao no Brasil Neste treinamento estas normas sero tratadasRespectivamente por ISO 27001 e ISO 27002.A norma ISO 27001 refere-se a quais requisitos de Sistemas de gesto da informao devem ser Implementados pela organizao;ISO27002 um Guia que orienta a utilizao de controle de segurana da informao .Esta normas so genricas por natureza NBR ISO/IEC 27001:2006-Tecnologia daInformao-Tcnica de segurana Sistema de Gesto de Segurana da informao - Requisitos

Outras normas da famlia 27000: ISO/IEC 27000:2009 - Information tecnology Security techniques Information Security management systems OVERVIEW AND VOCABULARY ISO/IEC27005/;2008 Information tecnoligy SECURITY TECHNIQUES InformationSecurty Risck Management ISO/IEC27006:2007-Information techology-Security techniques - Requirementes for bodies providing auditanda certification of information security Management systemsEvoluo

As principais recomendaes da NBR ISO IEC 17799 esto detalhadas nas 11 sees abaixo, totalizando

39 categorias principais de SI: Poltica de Segurana da Informao; Organizando a Segurana da Informao; Gesto de Ativos; Segurana em Recursos Humanos; Segurana Fsica e do Ambiente; Gerenciamento das Operaes e Comunicaes; Controle de Acesso; Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; Gesto de Incidentes de Segurana da Informao; Gesto da Contunuidade de Negcios; Conformidade.Introduo: Segurana da Informao A me ISO/IEC 17799

Introduo: Segurana da Informao A famlia ISO/IEC 27000

ISO/IEC 27001 um padro para sistema de gesto da segurana da informao (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo ISO/IEC 27001:2005 - Tecnologia da informao - tcnicas de segurana - sistemas de gerncia da segurana da informao requisitos; mas conhecido como "ISO 27001".

A norma ISO 27001:2005 a evoluo natural da norma BS7799-2:2002, sendo essa um padro britnico que trata da definio de requisitos para um Sistema de Gesto de Segurana da Informao

O requisito de segurana da informao no s a segurana FSICA e LGICA como dizem em outros modelos de gesto, ela : Fsica, Tcnica, Procedimental (organizacionais) e em Pessoas ISO/IEC-27002

A ISO 27001 combina recursos com outros Sistemas de Gesto, isso , se a organizao j certificada em ISO 9001 o SGSI poder utilizar processos j implantados pela ISO 9001.

ISO 27000 Vocabulrio e definies que sero utilizadas pelas restantes normas. Glossrio de Segurana da Informao. ISO 27001 Define os requisitos que devem ser cumpridos para a certificao de um SGSI. O qu uma empresa deve cumprir/ter para estar de acordo com a ISO. Certified to company. ISO 27002 um guia de boas prticas para se atuar uma empresa onde exista um SGSI. Certified to person ISO 27003 um guia para implantao dos requisitos exigidos a ISO27001. Diz, COMO FAZER.

Introduo: Segurana da Informao A famlia ISO/IEC 27000

Introduo: Segurana da Informao A famlia ISO/IEC 27000

ISO 27004 Define como medir e quais so os meios para saber a eficincia de um SGSI, ou seja, avalia se a empresa est seguindo ou no a ISO27001 atravs de relatrios.

ISO 27005 - Orientaes para Gesto de Riscos

ISO 27006 Guia para entidades de auditoria alm de planejar a continuidade do negcio para Desaster and Recovery.

INCIO > 25 aula

ISO/IEC 27002:2005-Tecnologia da informao Tcnica deSegurana Cdigo de Prtica para Gesto de Segurana da Informao. Baseada na BS 7799-1:1999 Utilizao como documentos de referncia Fornece um conjunto completo de controles de Segurana Baseada nas melhores prticas de segurana da Informao Consiste em 11 captulos (mais um Capitulo introdutrio sobre avaliao e tratamento de risco), 39 objetivos de controle e 133 controles No pode ser usada em auditorias e certificaesISO/IEC 27002:2005 Cdigo de Prtica para SGSI

SO Uma metodologia estruturada reconhecidaInternacionalmente, dedicatria segurana da InformaoUM processo definido para avaliar, implementar, manter e gerenciar a segurana da informaoUm grupo completo de controles contendo as melhores prticas para segurana da Informao (SGSI)

No soDirigidas para produtos ou tecnologiaUma metodologia para avaliao de equipamentos A ISO 27002 e a ISO 27001

A ISO 27002 define as melhores prticas para a Gesto da segurana da informao A ISO27001 considera:segurana fsica, tcnica, Procedimentos para pessoal Sem um sistemas de Gesto da segurana da Informao formal, existe um brande risco a Segurana ser quebrada A segurana da informao um processo de Gesto, no um processo tecnolgico A ISO 27001 a nica norma internacional que pode ser auditada por uma terceira parteA ISO 27002 e a ISO 27001

A incorporam um processo do escalonamento de risco e valorizao de ativos O grau em que os sistema formal e contm processos estruturados ir facilitar a Replicao do sistema de um local para outro O investimento no compromisso da direo e em treinamentos dos funcionriosReduz a probabilidade de ameaas bem sucedidas A infra-estrutura (sistemas de gesto e processos) pode ser desenvolvidaCentralmente e ento desdobrada globalmente Controles adicionais podem ser incorporados ao SGSI se assim for desejadoViso Geral ISO 27002 e ISO 27001

Razes para se adotar

Dificuldade na direo do escopo Dificuldade para desenvolver uma abordagemSistemtica ,simples e clara para a Gesto de risco Mesmo existindo Planos de continuidade deNegcio, raramente eles so testando de alguma forma Designao da rea de TI como responsvel porDesenvolvimento o projeto Falta de viso em mente aberta ao estabelecer osParmetros dos controles identificados na forma Falta de ao para identificar e usar controles fora de forma Limitao de oramento

Desafios na Implantao de SGSI

Reduz o risco de responsabilidade pela no implementao de um SGSI ou Oportunidade de identificar e corrigir pontos fracos A altar direo assume a responsabilidade pela segurana da informao Permite reviso independente do Sistema de Gesto da segurana da informao Oferece confiana aos parceiros comerciais,partes interessadas e clientes Melhor conscientizao sobre segurana Combina recursos com outros Sistemas de Gesto Mecanismo par medir o sucesso do sistemaBenefcios na implantao das ISO 27001/2

Salvaguardar aConfidencialidade, Integridadee Disponibilidade da Informao escrita, falada e Eletrnica; em coerncia com aAutenticidade e Legalidade.====== CIDALMeta das NBR ISO/IEC 27002 e 27001

**http://computerworld.uol.com.br/estaticas/downloads/catalogo_parte2.pdf - Texto sobre ISO/IEC 17799 juntamente com ITIL e COBIT****