Академический Документы
Профессиональный Документы
Культура Документы
As Normas
NBR ISO/IEC 27001 - Requisitos para
implantar um SGSI gesto de SI de SI
NBR ISO/IEC 27002 - Prticas para a NBR ISO/IEC 27005 - Gesto de riscos 27004 e 27003 - Gesto de SI (Medio)
e Guia de Impl. SGSI
Estrutura
5. Responsabilidades da direo
(Comprometimento da direo / Gesto de recursos)
8. Melhoria do SGSI
Estrutura
Anexos:
Anexo A - normativo: Objetivos de Controles e Controles (27002 - 5 a 15) Anexo B - informativo: Princpios da OECD* Anexo C - informativo: Correspondncia c/ ISO 9001 e ISO 14001
*Organizao para cooperao e desenvolvimento econmico
sexta-feira, 5 de novembro de 2010
0. Introduo
Esta Norma foi preparada para prover um modelo para EIOMAMM um Sistema de Gesto de Segurana da Informao (SGSI). EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
0. Introduo
0. Introduo
Estabelecer
Implementar e Operar
Manter e Melhorar
- Abordagem de processo: indica processos denidos, geridos e interativos; - Baseada no ciclo PDCA.
sexta-feira, 5 de novembro de 2010
0. Introduo
0. Introduo
Conformidade:
- Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004* para apoiar a implementao e a operao de forma consistente e integrada com normas de gesto relacionadas.
*Tratam do Sistema de Gesto da Qualidade e Sistema de Gesto Ambiental
1. Objetivo
NBR ISO/IEC 27001 1.1 Geral: - A norma cobre todos os tipos de organizaes; - Especica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao; - Projetado para assegurar a seleo de controles de segurana adequados e proporcionados para proteger os ativos de informao e propiciar conana s partes interessadas.
1. Objetivo
1.2 Aplicao:
- Os requisitos denidos so genricos e aplicveis a todas as organizaes, independentemente de tipo, tamanho e natureza; - A excluso de quaisquer dos requisitos em 4, 5, 6, 7, e 8 no aceitvel quando uma organizao reivindica conformidade com a norma; - Excluso de controle considerado necessrio aos critrios de aceitao de riscos precisa ser justicada e evidncias de que os riscos associados foram aceitos pelas pessoas responsveis precisam ser fornecidas; - A menos que tais excluses no afetem a capacidade da organizao, e/ ou responsabilidade de prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliao de riscos e por requisitos legais e regulamentares aplicveis.
sexta-feira, 5 de novembro de 2010
2. Ref. Normativa
O documento a seguir referenciado indispensvel para a aplicao desta Norma: ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. *Ou seja, a 27002
sexta-feira, 5 de novembro de 2010
3. Termos e Denies
3.1 ativo Qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]
3.2 disponibilidade Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada
[ISO/IEC 13335-1:2004]
3.3 condencialidade Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados
[ISO/IEC 13335-1:2004]
sexta-feira, 5 de novembro de 2010
3. Termos e Denies
3.4 segurana da informao
Preservao da condencialidade, integridade e disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e conabilidade, podem tambm estar envolvidas
[ABNT NBR ISO/IEC 17799:2005]
Uma ocorrncia identicada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
sexta-feira, 5 de novembro de 2010
3. Termos e Denies
3.6 incidente de segurana da informao Um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]
3.7 sistema de gesto da segurana da informao SGSI A parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao
NOTA
O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento, responsabilidades, prticas, procedimentos, processos e recursos.
sexta-feira, 5 de novembro de 2010
3. Termos e Denies
3.8 integridade Propriedade de salvaguarda da exatido e completeza de ativos
[ISO/IEC 13335-1:2004]
3. Termos e Denies
3.11 anlise de riscos Uso sistemtico de informaes para identicar fontes e estimar o risco
[ABNT ISO/IEC Guia 73:2005]
3.13 avaliao de riscos Processo de comparar o risco estimado com critrios de risco predenidos para determinar a importncia do risco
[ABNT ISO/IEC Guia 73:2005]
3. Termos e Denies
3.14 gesto de riscos Atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA
A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos. [ABNT ISO/IEC Guia 73:2005]
3.15 tratamento do risco Processo de seleo e implementao de medidas para modicar um risco
NOTA
Nesta Norma o termo controle usado como um sinnimo para medida. [ABNT ISO/IEC Guia 73:2005]
3. Termos e Denies
3.16 declarao de aplicabilidade Declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao SGSI da organizao
NOTA
Os objetivos de controle e controles esto baseados nos resultados e concluses dos processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a segurana da informao.
4. SGSI
Requisitos gerais A organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que ela enfrenta.
4. SGSI
NBR ISO/IEC 27001 Estabelecer o SGSI A organizao deve: Denir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia, incluindo detalhes e justicativas para quaisquer excluses do escopo
4. SGSI
NBR ISO/IEC 27001 Estabelecer o SGSI A organizao deve: - Denir a abordagem de anlise/avaliao de riscos da organizao (metodologia); - Identicar os riscos (ativos/proprietrios); - Analisar/avaliar riscos (probabilidades e impacto); - Identicar e avaliar as opes de tratamento;
4. SGSI
Estabelecer o SGSI
- Selecionar os objetivos de controle para tratamento de riscos (anexo A); - Obter aprovao da direo dos riscos residuais propostos; - Obter autorizao da direo para implementar e operar o SGSI; - Preparar uma Declarao de Aplicabilidade (controles aplicveis e justicativas de excluso).
sexta-feira, 5 de novembro de 2010
4. SGSI
4. SGSI
4. SGSI
4. SGSI
f)
Realizar uma anlise crtica do SGSI pela direo em bases regulares para assegurar que o escopo permanece adequado e que so identicadas melhorias nos processos do SGSI
sexta-feira, 5 de novembro de 2010
4. SGSI
4. SGSI
Requisitos de Documentao
- A documentao deve incluir registros de decises da direo, assegurar que as aes sejam rastreveis s polticas e decises da direo, e assegurar que os resultados registrados sejam reproduzveis; - Deve incluir declaraes documentadas da poltica, escopo, procedimentos e controles que apoiam o SGSI, metodologia e relatrio da anlise/aval. de riscos, procedimentos documentados para EIOMAMM o SGSI e declarao de aplicabilidade; - Controle de documentos; - Controle de registros.
sexta-feira, 5 de novembro de 2010
5. Responsabilidade da Direo
5.1 Comprometimento da Direo:
A Direo deve fornecer evidncia do seu comprometimento com o EIOMAMM do SGSI mediante: a)
o estabelecimento da poltica do SGSI; b) a garantia de que so estabelecidos os planos e objetivos do SGSI; c)
o estabelecimento de papis e responsabilidades pela segurana de informao; d) a comunicao organizao da importncia em atender aos objetivos de segurana da informao e conformidade;
5. Responsabilidade da Direo
5.1 Comprometimento da Direo:
e) a proviso de recursos sucientes para EIOMAMM o SGSI; f)
a denio de critrios para aceitao de riscos e dos nveis de riscos aceitveis; g) a garantia de que as auditorias internas do SGSI sejam realizadas; h) a conduo de anlises crticas do SGSI pela direo.
5. Responsabilidade da Direo
5.2 Gesto dos Recursos: 5.2.1 - Proviso de recursos; 5.2.2 - Treinamento, conscientizao e competncia.
6. Auditorias Internas
A organizao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI so executados como esperado, se so ecazes e atendem aos requisitos de conformidade e de SI.
8. Melhoria do SGSI
Melhoria contnua A organizao deve continuamente melhorar a eccia do SGSI por meio do uso da poltica de segurana da informao, objetivos de segurana da informao, resultados de auditorias, anlises de eventos monitorados, aes corretivas e preventivas e anlise crtica pela direo. Aes corretivas e preventivas Identicar no-conformidades; Determinar as causas de noconformidades; Avaliar a necessidade de aes para assegurar que no haja recorrncia; Determinar e implementar as aes necessrias; Registrar os resultados das aes executadas; Analisar Criticamente as Aes.
sexta-feira, 5 de novembro de 2010
Exerccios e Observaes
- Consideraes sobre o Anexo A da norma; - Dvidas; - Resoluo de questes; - O que vimos aqui?
Estrutura
4. ANLISE/AVALIAO E TRATAMENTO DE RISCOS 5. POLTICA DE SEGURANA DA INFORMAO 6. ORGANIZANDO A SEGURANA DA INFORMAO 7. GESTO DE ATIVOS 8. SEGURANA EM RECURSOS HUMANOS 9. SEGURANA FSICA E DO AMBIENTE 10. GERENCIAMENTO DAS OPERAES E COMUNICAES 11. CONTROLE DE ACESSOS 12. AQUISIO, DESENVOLVIMENTO E MANUTENO DE SISTEMAS 13. GESTO DE INCIDENTES DE SEGURANA DA INFORMAO 14. GESTO DA CONTINUIDADE DO NEGCIO 15. CONFORMIDADE
sexta-feira, 5 de novembro de 2010
0. Introduo
- A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita ser adequadamente protegida. - A informao pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em lmes ou falada em conversas. - Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio.
sexta-feira, 5 de novembro de 2010
0. Introduo
- A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. - Estes controles precisam ser EIOMAMM. - Fontes de requisitos de SI: * Anlise/Avaliao de Riscos; * Legislao e normas vigentes; * Princpios e objetivos de negcio.
0. Introduo
- Os requisitos de segurana da informao so identicados por meio de uma anlise/avaliao sistemtica dos riscos de segurana da informao. - Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciais falhas na segurana da informao. - Convm que a anlise/avaliao de riscos seja repetida periodicamente para contemplar quaisquer mudanas que possam inuenciar os resultados desta anlise/avaliao.
sexta-feira, 5 de novembro de 2010
0. Introduo
0. Introduo
0. Introduo
0. Introduo
0. Introduo
e) divulgao eciente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao; f)
distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas; g)
proviso de recursos nanceiros para as atividades da gesto de segurana da informao;
0. Introduo
h)
proviso de conscientizao, treinamento e educao adequados; i)
estabelecimento de um eciente processo de gesto de incidentes de segurana da informao; j)
implementao de um sistema de medio, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes para a melhoria.
1. Objetivo
Esta Norma estabelece diretrizes e princpios gerais para IIManMe a gesto de segurana da informao em uma organizao. Os objetivos denidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao. IIManMe: iniciar, implementar, manter e melhorar
sexta-feira, 5 de novembro de 2010
2. Termos e Denies
2.1 ativo qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]
2.2 controle forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal
NOTA
Controle tambm usado como um sinmino para proteo ou contramedida.
2.3 diretriz descrio que orienta o que deve ser feito e como, para se alcanarem os objetivos estabelecidos nas polticas
[ISO/IEC 13335-1:2004]
sexta-feira, 5 de novembro de 2010
2. Termos e Denies
2.4 recursos de processamento da informao qualquer sistema de processamento da informao, servio ou infra-estrutura, ou as instalaes fsicas que os abriguem 2.5 segurana da informao preservao da condencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e conabilidade, podem tambm estar envolvidas
2. Termos e Denies
2.6 evento de segurana da informao ocorrncia identicada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
2.7 incidente de segurana da informao um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]
2. Termos e Denies
2.9 risco combinao da probabilidade de um evento e de suas conseqncias
[ABNT ISO/IEC Guia 73:2005]
2.10 anlise de riscos uso sistemtico de informaes para identicar fontes e estimar o risco
[ABNT ISO/IEC Guia 73:2005]
2.12 avaliao de riscos processo de comparar o risco estimado com critrios de risco prdenidos para determinar a importncia do risco
[ABNT ISO/IEC Guia 73:2005]
sexta-feira, 5 de novembro de 2010
2. Termos e Denies
2.13 gesto de riscos atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos.
[ABNT ISO/IEC Guia 73:2005]
2.14 tratamento do risco processo de seleo e implementao de medidas para modicar um risco
[ABNT ISO/IEC Guia 73:2005]
2.15 terceira parte pessoa ou organismo reconhecido como independente das partes envolvidas, no que se refere a um dado assunto
[ABNT ISO/IEC Guia 2:1998]
sexta-feira, 5 de novembro de 2010
2. Termos e Denies
2.16 ameaa causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao
[ISO/IEC 13335-1:2004]
2.17 vulnerabildade fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas
3. Estrutura da Norma
- 11 sees de controles de segurana , totalizando 39 categorias principais de segurana e seo preliminar que trata a anlise/avaliao e o tratamento de riscos. - A norma apresenta 39 objetivos de controle (categorias) e 133 controles de segurana. - A ordem das sees no segue grau de importncia , cando a cargo de cada organizao identicar as sees aplicveis e a relevncia de cada uma. - Cada categoria principal de segurana da informao contm um objetivo de controle que dene o que deve ser alcanado; e um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle.
sexta-feira, 5 de novembro de 2010
3. Estrutura da Norma
Estrutura das Sees - Objetivo do controle: o que deve ser alcanado; - Controle: controle a ser implementado para atender o objetivo do controle; - Diretrizes: informaes mais detalhadas para apoiar a implementao do controle; - Informaes adicionais: informaes que podem ser consideradas na implementao do controle, tais como aspectos legais e referncias a outras normas.
5. Poltica de SI
- Convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de segurana da informao para toda a organizao. - Deve conter: * Uma denio de segurana da informao, suas metas globais, escopo e importncia da segurana da informao; * Uma declarao do comprometimento da direo; * Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de anlise/avaliao e gerenciamento de risco; * Denio das responsabilidades gerais e especcas na GSI.
5. Poltica de SI
- Apenas uma categoria:
6. Organizando a SI
Objetivo: Gerenciar a segurana da informao dentro da organizao. - Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da informao dentro da organizao. - Convm que a direo aprove a poltica de segurana da informao, atribua as funes da segurana, coordene e analise criticamente a implementao da segurana da informao por toda a organizao. - Categorias: * Infraestrutura da segurana da informao e Partes externas
sexta-feira, 5 de novembro de 2010
6. Organizando a SI
- Controles: * Comprometimento da direo com a SI; * Coordenao da SI; * Atribuio de responsabilidades para SI; * Processo de autorizao p/ os recursos de processamento da inf.; * Acordos de condencialidade; * Contato com autoridades; * Contato com grupos especiais; * Anlise Crtica Independente de SI; * Identicao de riscos relacionados com partes externas; * Identicao da SI ao tratar com clientes; * Identicao da SI nos acordos com terceiros.
sexta-feira, 5 de novembro de 2010
7. Gesto de Ativos
- Objetivo: Alcanar e manter a proteo adequada dos ativos da organizao. - Convm que todos os ativos sejam inventariados e tenham um proprietrio responsvel. - Convm que os proprietrios dos ativos sejam identicados e a eles seja atribuda a responsabilidade pela manuteno apropriada dos controles. Categorias: * Responsabilidade pelos ativos; * Classicao da informao.
7. Gesto de Ativos
- Controles: * Inventrio dos ativos; * Propriedade dos ativos; * Uso aceitvel dos ativos; * Recomendaes para classicao da informao; * Rtulos e tratamento da informao.
8. Segurana em RH
- Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos. - Convm que as responsabilidades pela segurana da informao sejam atribudas antes da contratao, de forma adequada, nas descries de cargos e nos termos e condies de contratao. - Convm que todos os candidatos ao emprego, fornecedores e terceiros sejam adequadamente analisados, especialmente em cargos com acesso a informaes sensveis. - Convm que todos os funcionrios, fornecedores e terceiros, usurios dos recursos de processamento da informao, assinem acordos sobre seus papis e responsabilidades pela segurana da informao.
sexta-feira, 5 de novembro de 2010
8. Segurana em RH
- Categorias: * Antes da contratao; * Durante a contratao; * Encerramento ou mudana da contratao. - Controles: * Papis e Responsabilidades * Seleo; * Termos e condies de contratao; * Responsabilidades da direo; * Conscientizao, educao e treinamento em SI; * Processo disciplinar; * Encerramento de atividades; * Devoluo de ativos; * Retirada de direitos de acesso.
sexta-feira, 5 de novembro de 2010
15. Conformidade
Objetivos: assegurar conformidade quanto ao aparato normativo vigente, seja ele tcnico, legal (civil, penal, criminal, regulamentao de setor) ou interno ao negcio. Contempla 3 categorias: * Conformidade com requisitos legais; * Conformidade com normas e polticas de segurana da informao e conformidade tcnica; * Consideraes quanto auditoria de sistemas de informao.
15. Conformidade
Controles: * Identicao da legislao vigente; * Direitos de propriedade intelectual; * Proteo de registros organizacionais; * Proteo de dados e privacidade de inf. pessoais; * Preveno de mau uso de recursos de proc. da inf.; * Regulamentao de controles e criptograa; * Conformidade com as polticas e normas de SI; * Vericao da conformidade tcnica; * Controles de auditoria de sistemas de informao; * Proteo de ferramentas de auditoria de sistemas de inf.
sexta-feira, 5 de novembro de 2010
Exerccios e Observaes
- Dvidas; - Resoluo de questes; - O que vimos aqui?
Estrutura
1. Introduo 2. Escopo 3. Referncias Normativas 4. Termos e Denies 5. Organizao da Norma 6. Contextualizao 7. Viso Geral do Processo de Gesto de Riscos de Segurana da Informao 8. Denio do Contexto 9. Anlise/Avaliao de Riscos de SI 10. Anlise/Avaliao de Riscos de SI 11. Tratamento do Risco de SI 12. Aceitao do Risco de SI 13. Comunicao do Risco de SI 14. Monitoramento e Anlise Crtica de Riscos de SI
Overview
- Esta norma est de acordo com os conceitos especicados na ABNT NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementao satisfatria da segurana da informao tendo como base a gesto de riscos. - Esta norma se aplica a todos os tipos de organizao que pretendam gerir os riscos que poderiam comprometer a segurana da informao da organizao.
Overview
- Apresenta diretrizes para o processo de Gesto de Riscos de Segurana da Informao (GRSI) de uma organizao, em conformidade com os requisitos de um SGSI descritos na NBR ISO/IEC 27001. - A norma no inclui uma metodologia especca para a gesto de riscos de segurana da informao. -Cabe organizao denir sua abordagem ao processo de riscos, levando em conta, por exemplo, o escopo dos seu SGSI, o contexto da gesto de riscos e o seu setor de atividade econmica.
sexta-feira, 5 de novembro de 2010
Overview
Overview
Overview
Overview
Termos e denies:
Estimativa de riscos processo utilizado para atribuir valores probabilidade e consequncias de um risco Identicao de riscos processo para localizar, listar e caracterizar elementos do risco Reduo do risco aes tomadas para reduzir a probabilidade, as consequncias negativas ou ambas associadas a um risco Reteno do risco aceitao do nus da perda ou do benefcio do ganho associado a um determinado risco Transferncia do risco compartilhamento com uma outra entidade do nus da perda associado a um risco
Overview
Aplicabilidade: O processo de GRSI pode ser aplicado organizao como um todo, a uma rea especca da organizao (por exemplo: um departamento, uma localidade, um servio), a um sistema de informaes, a controles j existentes, planejados ou apenas a aspectos particulares de um controle (exemplo: Plano de Continuidade de Negcios)
Overview
O processo de gesto de riscos de SI: * Denio do contexto (Seo 7); * Anlise/avaliao de riscos (Seo 8); * Tratamento do risco (Seo 9); * Aceitao do risco (Seo 10); * Comunicao do risco (Seo 11); * Monitoramento e anlise crtica do risco (Seo 12).
Exerccios e Observaes
- Dvidas; - Resoluo de questes; - O que vimos aqui? Obrigado! @thiagofagury
sexta-feira, 5 de novembro de 2010