respostas incidentes plano negocio 27 08

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS

AULA DE HOJE

METODOLOGIAS USADAS PARA RESPOSTAS A

INCIDENTES E PLANO DE

CONTINUIDADE DE NEGÓCIOS

2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 1


ISO/IEC 27001:2006

(Resumo Pontual sobre as normas ISO/IEC,

Modelos, boas práticas de serviços e gestão de TI)




Esta norma foi preparada com o objetivo de

fornecer um modelo para:

estabelecer, implementar, operar, monitorar, analisar

criticamente, manter e melhorar um Sistema de

Gestão de Segurança da Informação (SGSI).



Um SGSI deve ser uma decisão estratégica para uma

organização.



A especificação e a implementação do SGSI de uma

organização são influenciadas pelas suas necessidades

e objetivos, requisitos de segurança, processos

empregados e tamanho da estrutura organizacional.



Espera-se que este e os sistemas de apoio mudem

com o passar do tempo. Espera-se que a

implementação de um SGSI seja escalada conforme

as necessidades da organização.



Por exemplo: uma situação simples exige uma solução

de um SGSI simples.



ESTRUTURA DA ISO 27001:2006

0 – Introdução

1 – Objetivo

2 – Referência Normativa

3 – Termos e definições

4 – Sistema de Gestão de Segurança da Informação



(Requisitos Gerais, estabelecendo e gerenciando o

SGSI, requisitos de documentação)

5 - Responsabilidades da Direção (comprometimento

da direção e gestão de recursos)

6 – Auditorias Internas do SGSI



7 – Análise Crítica do SGSI pela Direção

(Geral; Entradas para a análise crítica; saídas da

análise crítica)

8 – Melhoria do SGSI (Melhoria Contínua; Ação

Corretiva; Ação Preventiva)



A ISO 27001 adota o modelo conhecido como PDCA

Plan- Do- Check- Act) que é aplicado para estruturar

todos os processos do SGSI.



Figura 01 – Modelo PDCA

Fonte: http://edilms.eti.br Acesso em 20 de fevereiro de 2014



PDCA NA ISO 27001PLAN (planejar – Estabelecer o SGSI)

Estabelecer a política, os objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e melhoria da segurança da informação, para produzir resultados de acordo com as políticas e objetivos globais de uma organização.

DO (fazer – implementar e operar o SGSI)

Implementar e operar a política , controles, processos e procedimentos do SGSI

CHECK (Checar – monitorar e analisar criticamente o SGSI)

Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise critica pela direção.



ACT (agir – manter e melhorar o SGSI)

Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente , para alcançar a melhoria contínua do SGSI



ISO/IEC 27002:2005

A norma ABNT NBR ISO/IEC 27002:2005 mostra que

é imprescindível proteger a informação dos diversos

tipos de ameaças existentes com o objetivo de

garantir a continuidade do negócio, minimizar o risco

para o negócio, maximizar o retorno sobre os

investimentos e as oportunidades de negócios para os

usuários, empresas e instituições, sejam elas privadas

ou públicas.



Esta Norma estabelece diretrizes e princípios gerais

para iniciar, implementar, manter e melhorar a gestão

de segurança da informação em uma organização.

Os objetivos definidos nesta Norma fornecem diretrizes

gerais sobre as metas geralmente aceitas para a

gestão da segurança da informação.

Os objetivos de controle e os controles desta Norma



têm como finalidade ser implementados para atender

aos requisitos identificados por meio da análise/

avaliação de riscos. Esta Norma pode servir como um

guia prático para desenvolver os procedimentos de

segurança da informação da organização e as

eficientes práticas de gestão da segurança e para

ajudar a criar a confiança nas atividades inter-

organizacionais.



ESTRUTURA DA ISO 27002:20050 – Introdução

1 – Objetivo

2 – Termos e definições

3 – Estrutura da Norma

4 – Análise/Avaliação e tratamento de riscos



5 – Política de Segurança da Informação

6 – Organizando a Segurança da Informação

7 – Gestão de Ativos

8 – Segurança em Recursos Humanos

9 – Segurança física e do ambiente

10 – Gerenciamento das operações e das

comunicações



11 – Controle de Acessos

12 – Aquisição, desenvolvimento e manutenção de

sistemas

13 – Gestão de Incidentes de segurança da informação

14 – Gestão da continuidade do negócio

15 – Conformidade



ISSO/IEC 27005:2008

Esta Norma fornece diretrizes para a segurança da

informação da gestão de riscos, tendo como objetivo

fornecer um guia para a implementação da

abordagem de gerenciamento de riscos orientada ao

processo, para auxiliar na execução e no cumprimento

satisfatório da implementação da gestão de riscos da

informação, tendo como base os requisitos da Norma



da Norma ISSO/IEC 27001.

Foi elaborada para facilitar uma implementação

satisfatória da segurança da informação tendo como

base a gestão de riscos.

Aplica-se a todos os tipos de organização que

pretendam gerenciar os riscos que poderiam

comprometer a segurança da informação da

organização



Nesta Norma encontra-se um conjunto de técnicas

que são empregadas para orientar o gerenciamento

dos riscos de segurança, incluindo recomendações

sobre a avaliação de riscos, tratamento, aceitação,

comunicação, monitoramento e revisão de riscos.



ESTRUTURA DA ISO 27005:20081 – Introdução

2 – Escopo

3 – Referências Normativas

4 – Termos e Definições

5 – Organização da Norma



6 – Contextualização

7– Visão Geral do Processo de Gestão de Riscos

de Segurança da Informação

8 – Definição do Contexto

9 – Análise/Avaliação de Riscos de SI

10– Tratamento de Riscos de SI

11 – Aceitação de Riscos de SI

12 – Comunicação de Riscos

13 – Monitoramento e Análise Crítica de Riscos de SI



Figura 02

ISO

27005



Figura 03

Tratamento

De

Riscos

ISO

27005

respostas incidentes plano negocio 27 08

Documents