Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Implementando um SGSI conforme a NBR ISO/IEC 27001

    Загружено:

    crboguitar
    112 просмотров30 страниц
     A apresentação resume a norma NBR ISO/IEC 27001, explicando que ela fornece um modelo padrão para estabelecer, implementar, operar e melhorar um Sistema de Gestão de Segurança da Informação. Detalha alguns dos principais conceitos da norma e benefícios da certificação, como redução de riscos e confiança de stakeholders.

    Исходное описание:

    iso27001

    Оригинальное название

    iso27001-sgsi-140512150455-phpapp02

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PPTX, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
     A apresentação resume a norma NBR ISO/IEC 27001, explicando que ela fornece um modelo padrão para estabelecer, implementar, operar e melhorar um Sistema de Gestão de Segurança da Informação. Detalha alguns dos principais conceitos da norma e benefícios da certificação, como redução de riscos e confiança de stakeholders.

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PPTX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    112 просмотров30 страниц

    Implementando um SGSI conforme a NBR ISO/IEC 27001

    Загружено:

    crboguitar
     A apresentação resume a norma NBR ISO/IEC 27001, explicando que ela fornece um modelo padrão para estabelecer, implementar, operar e melhorar um Sistema de Gestão de Segurança da Informação. Detalha alguns dos principais conceitos da norma e benefícios da certificação, como redução de riscos e confiança de stakeholders.

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PPTX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 30

    NBR ISO/IEC 27001

    SISTEMA DE GESTO
    DE SEGURANA DA INFORMAO

    OBJETIVO

    FAZER UMA EXPLANAO SOBRE A NORMA


    NBR ISO/IEC 27001 AFIM DE TORNAR
    CONHECIDO TODOS PRESENTES A SUA
    FINALIDADE.

    2/30

    Sumrio

    Introduo
    Conceitos

    Desenvolvimento

    O que a norma ISO 27001?


    Para que serve?
    Em que consiste?
    Quais os benefcios para quem adotar?
    Quanto tempo demora a preparao da certificao?
    Alguns Objetivos de Controle e Controles

    Concluso
    Referncias

    3/30

    Introduo

    NBR ISO/IEC 27001


    1. NBR - Denominao de norma daAssociao
    Brasileira de Normas Tcnicas(ABNT)
    2. ISO - Organizao Internacional para
    Padronizao
    1. International Organization for Standardization

    3. IEC - Comisso Eletrotcnica Internacional


    1. International Electrotechnical Commission

    4/30

    Introduo

    Famlia 27000 ISO/IEC 27000 series - Descrio e


    Vocabulrio

    Organizaes podem desenvolver e implementar uma estrutura


    para gerenciar a segurana de seus ativos de informao
    Se preparar para uma avaliao independente do seu
    SGSI(Sistema de Gesto de Segurana da Informao) aplicado
    proteo de informaes
    Normas
    1. ISO/IEC 27002:2005 - Cdigo de Prtica para Gesto da
    Segurana da Informao
    2. ISO/IEC 27005:2011 - Gesto de Riscos de Segurana da
    Informao
    3. ISO/IEC 27007 :2012 Diretrizes para auditoria de SGSI
    4. ISO/IEC 27014:2013 Governana de segurana da
    informao

    5/30

    Breve Histrico das Normas

    Publicado pelo
    BSI como BS
    7799

    Publicao
    BS 7799-2=ISO/IEC 27001
    E NBR ISO/IEC 17799
    Republicado
    como padro
    ABNT publica a NBR
    Internacional
    ISO/IEC
    ISO/IEC 17799-1
    27002:2007(Correo e
    Renomeao 17799-1)

    1992

    1995

    Publicado o
    cdigo de prtica
    pelo governo
    ingls

    1999 2000 2002


    1 Grande reviso
    da BS 7799

    2005 2006

    Publicada BS
    7799-2
    Especificao do
    SGSI

    2007

    ABNT publica a
    NBR ISO/IEC
    27001:2006

    2013

    27001:2013 substitui a
    2005

    6/30

    Introduo

    Conceitos
    Sistema
    Um conjunto de elementos inter-relacionados,
    cada qual desempenhando uma funo, para, de
    forma integrada e coordenada, contribuir e
    garantir que o objetivo do sistema seja
    atingido Teoria Geral dos Sistemas

    7/30

    Introduo

    Conceitos
    Gesto
    So os mecanismos que tm de ser implantados para
    que tendncias instintivas (naturais) originadas no
    auto-interesse das pessoas, sejam canalizadas para
    o interesse da empresa. - Clemente Nobrega

    8/30

    Introduo

    Conceitos
    Segurana da Informao
    Preservao da confidencialidade, integridade e
    disponibilidade da informao; adicionalmente,
    outras propriedades, tais como autenticidade,
    responsabilidade, no repdio e confiabilidade,
    podem tambm estar envolvidas. - ABNT NBR
    ISO/IEC 17799:2005

    9/30

    Introduo

    Outros Conceitos
    Risco
    A possibilidade de uma determinada ameaa explorar
    vulnerabilidades de um ativo ou de um conjunto de ativos, desta
    maneira prejudicando a organizao -

    Ameaa
    Causa potencial de um incidente indesejado, que pode resultar em
    dano para um sistema ou organizao

    Vulnerabilidade
    Fraqueza de um ativo ou controle , que pode ser explorada por uma
    ameaa

    Impacto
    Mudana adversa no nvel obtido dos objetivos de negcios

    Ativo
    Qualquer coisa que tenha valor para a organizao

    10/30

    Introduo - Ecosistema de SI
    People

    Products
    Confidentiality
    Confidentialit
    y

    Information

    Information
    Security
    Security

    Availabilit
    Availability
    y
    Authenticity

    Authenticity

    Integrit
    Integrit
    y Integrit
    yy
    Responsibili
    Responsibility
    Responsibility
    ty

    Reliability
    Confidentiality

    Partners

    Non
    Non
    repudiation
    repudiation

    Process

    11/30

    Introduo Viso Sistmica

    12/30

    O que a norma ISO 27001?

    um
    modelo/padro
    e
    referncia
    internacional
    para
    estabelecer,
    implementar, operar, monitorar, analisar
    criticamente, manter e melhorar um SGSI.

    13/30

    Para que serve?

    Para que as organizaes adotem um modelo


    adequado de estabelecimento, implementao,
    operao, monitorizao, reviso e gesto de um
    Sistema de Gesto de Segurana da Informao.

    independente de fabricantes
    Se destina ao estabelecimento
    Processos e Procedimento de acordo com realidade de
    cada organizao

    14/30

    Em que consiste?

    A norma padro (Standard) ISO 27001 composta


    por duas componentes relativamente distintas:
    1. Onde so definidas as regras e os requisitos de
    cumprimento da norma
    2. ANEXO A - Um conjunto de objetivos de controle e
    controles que as organizaes devem adotar
    NORMATIVO

    INFORMATIVOS
    1. ANEXO B - Princpios da OECD(ORGANIZAO PARA A
    COOPERAO E DESENVOLVIMENTO ECONMICO) e
    desta Norma
    2. ANEXO C Correspondncia s Nomas ISO 9001 E 14001

    15/30

    Em que consiste?
    ANEXO AISO27001:2006

    16/30

    Em que consiste?
    ANEXO AISO27001:2006

    17/30

    Quais os benefcios para quem


    adoptar?

    Reduz o risco de responsabilidade por no


    implantar um SGSI
    Identifica e corrige pontos fracos
    A alta direo assume a responsabilidade pela
    SI
    Permite reviso independente do SGSI
    Oferece confiana aos stakeholders
    Melhor conscincia sobre Segurana
    Combina recursos com outros sistemas de gesto
    Mecanismo para medir o sucesso
    do Sistema
    18/30

    Quanto tempo demora para


    implementao do SGSI?

    Varia de acordo com a realidade,


    maturidade
    e
    dimenso
    de
    cada
    organizao, mas considera-se razovel
    estabelecer como tempo mdio o perodo
    entre seis meses e um ano.

    19/30

    Alguns Objetivos de Controle e


    Controles

    Poltica de segurana da informao


    Prover uma orientao e apoio da direo para a
    segurana da informao de acordo com os
    requisitos do negcio e com as leis e
    regulamentaes relevantes
    Objetivos de Controle
    Documento da poltica de segurana da informao
    Anlise crtica da poltica de segurana da
    informao

    20/30

    21/30

    Alguns Objetivos de Controle e


    Controles

    Aspectos da gesto da continuidade do


    negcio,
    relativos

    segurana
    da
    informao
    No permitir a interrupo das atividades do negcio e
    proteger os processos crticos contra efeitos de falhas
    ou desastres significativos, e assegurar a sua retomada
    em tempo hbil, se for o caso.
    Objetivos de Controle
    Incluindo segurana da informao no processo de gesto
    da continuidade de negcio
    Desenvolvimento e implementao de planos de
    continuidade relativos segurana da informao

    22/30

    Alguns Objetivos de Controle e


    Controles

    23/30

    Alguns Objetivos de Controle e


    Controles

    Responsabilidades dos usurios


    Prevenir o acesso no autorizado dos usurios e
    evitar o comprometimento ou roubo da
    informao e dos recursos de processamento da
    informao
    Objetivos de Controle
    Uso de senha
    Poltica de mesa limpa e tela limpa

    24/30

    25/30

    Principal Desafio

    Prioridade!!!

    26/30

    27/30

    Concluso

    A NORMA NBR ISO/IEC 27001


    modelo/padro de boa prtica para
    alcanar nveis de maturidade cada
    maiores na rea de Segurana
    Informao e atingir o objetivo
    implementar um SGSI.

    um
    se
    vez
    da
    de

    28/30

    Referncias

    Normas da famlia 27000

    29/30

    30/30

    Вам также может понравиться