segurança de redes normas de segurança da informação
TRANSCRIPT
Segurança de redes
Normas de Segurança da Informação
O que são Normas?
• Necessidade do mercado em reconhecer práticas adequadas
• Maneira de criar um senso comum sobre um assunto
• Estabelecidas por órgãos internacionais de normatização
O que são Normas?
• As normas mais comuns são: – ISO 9001 – Qualidade– ISO 14001 – Meio Ambiente
• As normas podem definir melhores práticas e/ou requisitos para a certificação
• Certificação somente para empresas
Norma ISO 27001
ISO/IEC 2005 – All rights reserved
Norma ISO 27001
• Origem:– BS 7799, do British Standards Institution, BSI
– Reconhecida pela ISO (International Standards Organization) com o nome “ISO 17799”
– Em 2005 teve sua numeração unificada, como ISO 27001, substituindo a ISO 17799
Norma ISO 27001
• Brasil– A norma ISO 27001 possui uma versão brasileira, a
NBR ISO 27001:2005
• Certificação– A ISO 27001 possibilita que um ou mais processos
de uma empresa sejam certificados– A BS 7799 também permite a certificação, mas a
última data de certificação será Agosto/2007– A ISO 17799 não permitia a certificação
Norma ISO 27001
• É dividida em duas partes:
– A descrição de um Sistema de Gestão da Segurança da Informação
– Anexo A – Objetivos de controle
Norma ISO 27001
• Sistema de Gestão da Segurança da Informação (SGSI)– Termo original da Norma: ISMS – Information
Security Management System
• Descreve como sistematizar as atividades de Segurança da Informação de uma empresa
O SGSI
• Um Sistema de Gestão da Segurança da Informação possui 4 grandes tarefas:
– P – Plan (Planejamento)– D – Do (Realização)– C – Check (Verificação)– A – Act (Ação)
O SGSI – Plan
• PLAN– Fase em que as atividades gerais do SGSI
são planejadas– Criação de Políticas, Regras, Processos e
Procedimentos que irão nortear as atividades de segurança
– Avaliação de riscos
O SGSI – Do
• Do– Implementação das atividades planejadas na
fase “Plan”
– Fase em que os planos para a redução de riscos são colocados em prática
– Todas as atividades previstas devem ser realizadas nesta etapa
O SGSI – Check
• Check– Etapa de verificação das atividades
planejadas e executadas na fase anterior
– Auditorias são a base desta etapa
– Verificação se as atividades realizadas na fase “Do” foram efetivas na redução do risco detectado na fase “Plan”
O SGSI – Act
• Act– Etapa em que as lições aprendidas durantes
as fases Plan, Do e Check são analisadas
– Nesta etapa são propostas melhorias para o próximo ciclo, permitindo que o nível de risco seja reduzido
– Ciclo que permite a melhoria contínua
ISO 27001 – Anexo A
• O Anexo A contém os requisitos técnicos e operacionais para a manutenção da segurança
• São 12 áreas com objetivos de controle
• Para a certificação é necessário que todos os requisitos do Anexo A sejam atendidos
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved
ISO 27001 – Anexo A
ISO/IEC 2005 – All rights reserved