Contedo final

SEGURANA
FSICA & LGICA DE REDES
Material Complementar de Estudos

INCIO > 24 aula

O que a Organizao ISO

A ISO - Internacional Organization for Stardardization - maior organizao para Desenvolvimento e publicao de normas. Fazem o Relacionamento entre os rgos nacionais de Organizao no governamental, que forma uma Ponte entre os setores pblico e privado. Sediada em Genebra, na Sua e fundada em 1946. Mais de 160 pases integram a Organizao internacional, especializada em Padronizao e cujos membros. O Brasil Representado pela Associao Brasileira de normas Tcnicas ABNT O propsito da ISO desenvolver e promover Normas que possam ser utilizadas igualmente por todos os pases do mundo.

Situao no Brasil
As normas para segurana da informao Adotadas e traduzidas pela ABNT, denominando-se:

NBR ISO/IEC 27001:2006-Tecnologia da

Informao-Tcnica de segurana Sistema de Gesto de Segurana da informao - Requisitos

NBR ISO/IEC 27001:2005 Tecnologia da

Informao Tcnica de segurana-Cdigo de Prtica para Gesto de Segurana da informao Neste treinamento estas normas sero tratadas Respectivamente por ISO 27001 e ISO 27002. A norma ISO 27001 refere-se a quais requisitos de Sistemas de gesto da informao devem ser Implementados pela organizao; ISO27002 um Guia que orienta a utilizao de controle de segurana da informao .Esta normas so genricas por natureza

Evoluo

Outras normas da famlia 27000:

ISO/IEC 27000:2009 - Information tecnology Security techniques Information Security management systems OVERVIEW AND VOCABULARY ISO/IEC27005/;2008 Information tecnoligy SECURITY TECHNIQUES Information Securty Risck Management ISO/IEC27006:2007-Information techology-Security techniques - Requirementes for bodies providing auditanda certification of information security Management systems

Introduo: Segurana da Informao A me ISO/IEC 17799

As principais recomendaes da NBR ISO IEC 17799 esto detalhadas nas 11 sees abaixo, totalizando 39 categorias principais de SI: Poltica de Segurana da Informao; Organizando a Segurana da Informao; Gesto de Ativos; Segurana em Recursos Humanos; Segurana Fsica e do Ambiente; Gerenciamento das Operaes e Comunicaes; Controle de Acesso; Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; Gesto de Incidentes de Segurana da Informao; Gesto da Contunuidade de Negcios; Conformidade.

Introduo: Segurana da Informao A famlia ISO/IEC 27000

ISO/IEC 27001 um padro para sistema de gesto da segurana da informao (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo ISO/IEC 27001:2005 - Tecnologia da informao tcnicas de segurana - sistemas de gerncia da segurana da informao requisitos; mas conhecido como "ISO 27001". A norma ISO 27001:2005 a evoluo natural da norma BS77992:2002, sendo essa um padro britnico que trata da definio de requisitos para um Sistema de Gesto de Segurana da Informao
O requisito de segurana da informao no s a segurana FSICA e LGICA como dizem em outros modelos de gesto, ela : Fsica, Tcnica, Procedimental (organizacionais) e em Pessoas ISO/IEC-27002

Introduo: Segurana da Informao A famlia ISO/IEC 27000

A ISO 27001 combina recursos com outros Sistemas de Gesto, isso , se a organizao j certificada em ISO 9001 o SGSI poder utilizar processos j implantados pela ISO 9001. ISO 27000 Vocabulrio e definies que sero utilizadas pelas restantes normas. Glossrio de Segurana da Informao. ISO 27001 Define os requisitos que devem ser cumpridos para a certificao de um SGSI. O qu uma empresa deve cumprir/ter para estar de acordo com a ISO. Certified to company. ISO 27002 um guia de boas prticas para se atuar uma empresa onde exista um SGSI. Certified to person ISO 27003 um guia para implantao dos requisitos exigidos a ISO27001. Diz, COMO FAZER.

Introduo: Segurana da Informao A famlia ISO/IEC 27000

ISO 27004 Define como medir e quais so os meios para saber a eficincia de um SGSI, ou seja, avalia se a empresa est seguindo ou no a ISO27001 atravs de relatrios.

ISO 27005 - Orientaes para Gesto de Riscos

ISO 27006 Guia para entidades de auditoria alm de planejar a continuidade do negcio para Desaster and Recovery.

INCIO > 25 aula

ISO/IEC 27002:2005 Cdigo de Prtica para SGSI

ISO/IEC 27002:2005-Tecnologia da informao Tcnica de Segurana Cdigo de Prtica para Gesto de Segurana da Informao.

Baseada na BS 7799-1:1999 Utilizao como documentos de referncia Fornece um conjunto completo de controles de Segurana Baseada nas melhores prticas de segurana da Informao Consiste em 11 captulos (mais um Capitulo introdutrio sobre avaliao e tratamento de risco), 39 objetivos de controle e 133 controles No pode ser usada em auditorias e certificaes

A ISO 27002 e a ISO 27001

SO Uma metodologia estruturada reconhecida Internacionalmente, dedicatria segurana da Informao UM processo definido para avaliar, implementar, manter e gerenciar a segurana da informao Um grupo completo de controles contendo as melhores prticas para segurana da Informao (SGSI)

No so Dirigidas para produtos ou tecnologia Uma metodologia para avaliao de equipamentos

A ISO 27002 e a ISO 27001

A ISO 27002 define as melhores prticas para a Gesto da segurana da informao A ISO27001 considera:segurana fsica, tcnica, Procedimentos para pessoal

Sem um sistemas de Gesto da segurana da Informao formal, existe um brande risco a Segurana ser quebrada
A segurana da informao um processo de Gesto, no um processo tecnolgico

A ISO 27001 a nica norma internacional que pode ser

auditada por uma terceira parte

Viso Geral ISO 27002 e ISO 27001

A incorporam um processo do escalonamento de risco e valorizao de ativos
O grau em que os sistema formal e contm processos estruturados ir facilitar a Replicao do sistema de um local para outro O investimento no compromisso da direo e em treinamentos dos funcionrios Reduz a probabilidade de ameaas bem sucedidas A infra-estrutura (sistemas de gesto e processos) pode ser desenvolvida Centralmente e ento desdobrada globalmente

Controles adicionais podem ser incorporados ao SGSI se assim for desejado

Razes para se adotar

Desafios na Implantao de SGSI

Dificuldade na direo do escopo Dificuldade para desenvolver uma abordagem Sistemtica ,simples e clara para a Gesto de risco Mesmo existindo Planos de continuidade de Negcio, raramente eles so testando de alguma forma Designao da rea de TI como responsvel por Desenvolvimento o projeto

Falta de viso em mente aberta ao estabelecer os

Parmetros dos controles identificados na forma Falta de ao para identificar e usar controles fora de forma Limitao de oramento

Benefcios na implantao das ISO 27001/2

Reduz o risco de responsabilidade pela no implementao de um SGSI ou Oportunidade de identificar e corrigir pontos fracos

A altar direo assume a responsabilidade pela segurana da informao

Permite reviso independente do Sistema de Gesto da segurana da informao Oferece confiana aos parceiros comerciais,partes interessadas e clientes Melhor conscientizao sobre segurana Combina recursos com outros Sistemas de Gesto Mecanismo par medir o sucesso do sistema

Meta das NBR ISO/IEC 27002 e 27001

Salvaguardar a

Confidencialidade, Integridade
e Disponibilidade da Informao escrita, falada e Eletrnica; em coerncia com a Autenticidade e Legalidade. ====== CIDAL