RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

AULA DE HOJE
METODOLOGIAS USADAS PARA RESPOSTAS A
INCIDENTES E PLANO DE
CONTINUIDADE DE NEGCIOS

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

ISO/IEC 27001:2006
(Resumo Pontual sobre as normas ISO/IEC,
Modelos, boas prticas de servios e gesto de TI)

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

Esta norma foi preparada com o objetivo de

fornecer um modelo para:
estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de
Gesto de Segurana da Informao (SGSI).

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

Um SGSI deve ser uma deciso estratgica para uma

organizao.

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS
A especificao e a implementao do SGSI de uma
organizao so influenciadas pelas suas necessidades
e objetivos, requisitos de segurana, processos
empregados e tamanho da estrutura organizacional.

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

Espera-se que este e os sistemas de apoio mudem

com o passar do tempo. Espera-se que a
implementao de um SGSI seja escalada conforme
as necessidades da organizao.

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

Por exemplo: uma situao simples exige uma soluo

de um SGSI simples.

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS
ESTRUTURA DA ISO 27001:2006
0 Introduo
1 Objetivo
2 Referncia Normativa
3 Termos e definies
4 Sistema de Gesto de Segurana da Informao

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

(Requisitos Gerais, estabelecendo e gerenciando o

SGSI, requisitos de documentao)
5 - Responsabilidades da Direo (comprometimento
da direo e gesto de recursos)
6 Auditorias Internas do SGSI

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

7 Anlise Crtica do SGSI pela Direo

(Geral; Entradas para a anlise crtica; sadas da
anlise crtica)
8 Melhoria do SGSI (Melhoria Contnua; Ao
Corretiva; Ao Preventiva)

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

10

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

A ISO 27001 adota o modelo conhecido como PDCA

Plan- Do- Check- Act) que aplicado para estruturar
todos os processos do SGSI.

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

11

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS
Figura 01 Modelo PDCA

Fonte: http://edilms.eti.br

Acesso em 20 de fevereiro de 2014

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

12

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

PDCA NA ISO 27001

PLAN (planejar
Estabelecer o SGSI)

Estabelecer a poltica, os objetivos,

processos e procedimentos do
SGSI, relevantes para a gesto de
riscos e melhoria da segurana da
informao, para produzir resultados de
acordo com as polticas e objetivos
globais de uma organizao.

DO (fazer implementar
e operar o SGSI)

Implementar e operar a poltica ,

controles, processos e procedimentos
do SGSI

CHECK (Checar monitorar

e analisar criticamente
o SGSI)

Avaliar e, quando aplicvel, medir o

desempenho de um processo frente
poltica, objetivos e experincia
prtica do SGSI e apresentar os
resultados para a anlise critica pela
direo.

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

13

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

ACT (agir manter e melhorar

o SGSI)

Executar as aes corretivas e

preventivas, com base nos
resultados da auditoria interna do
SGSI e da anlise crtica pela
direo ou outra informao
pertinente , para alcanar a
melhoria contnua do SGSI

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

14

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS
ISO/IEC 27002:2005
A norma ABNT NBR ISO/IEC 27002:2005 mostra que
imprescindvel proteger a informao dos diversos
tipos de ameaas existentes com o objetivo de
garantir a continuidade do negcio, minimizar o risco
para o negcio, maximizar o retorno sobre os
investimentos e as oportunidades de negcios para os
usurios, empresas e instituies, sejam elas privadas
ou pblicas.
2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

15

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

Esta Norma estabelece diretrizes e princpios gerais

para iniciar, implementar, manter e melhorar a gesto
de segurana da informao em uma organizao.
Os objetivos definidos nesta Norma fornecem diretrizes
gerais sobre as metas geralmente aceitas para a
gesto da segurana da informao.
Os objetivos de controle e os controles desta Norma
2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

16

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

tm como finalidade ser implementados para atender

aos requisitos identificados por meio da anlise/
avaliao de riscos. Esta Norma pode servir como um
guia prtico para desenvolver os procedimentos de
segurana da informao da organizao e as
eficientes prticas de gesto da segurana e para
ajudar a criar a confiana nas atividades interorganizacionais.

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

17

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

ESTRUTURA DA ISO 27002:2005

0 Introduo
1 Objetivo
2 Termos e definies
3 Estrutura da Norma
4 Anlise/Avaliao e tratamento de riscos

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

18

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

5 Poltica de Segurana da Informao

6 Organizando a Segurana da Informao
7 Gesto de Ativos
8 Segurana em Recursos Humanos
9 Segurana fsica e do ambiente
10 Gerenciamento das operaes e das
comunicaes

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

19

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

11 Controle de Acessos
12 Aquisio, desenvolvimento e manuteno de
sistemas
13 Gesto de Incidentes de segurana da informao
14 Gesto da continuidade do negcio
15 Conformidade
2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

20

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

ISSO/IEC 27005:2008
Esta Norma fornece diretrizes para a segurana da
informao da gesto de riscos, tendo como objetivo
fornecer um guia para a implementao da
abordagem de gerenciamento de riscos orientada ao
processo, para auxiliar na execuo e no cumprimento
satisfatrio da implementao da gesto de riscos da
informao, tendo como base os requisitos da Norma
2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

21

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

da Norma ISSO/IEC 27001.

Foi elaborada para facilitar uma implementao
satisfatria da segurana da informao tendo como
base a gesto de riscos.
Aplica-se a todos os tipos de organizao que
pretendam gerenciar os riscos que poderiam
comprometer a segurana da informao da
organizao
2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

22

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

Nesta Norma encontra-se um conjunto de tcnicas

que so empregadas para orientar o gerenciamento
dos riscos de segurana, incluindo recomendaes
sobre a avaliao de riscos, tratamento, aceitao,
comunicao, monitoramento e reviso de riscos.

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

23

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS

ESTRUTURA DA ISO 27005:2008

1 Introduo
2 Escopo
3 Referncias Normativas
4 Termos e Definies
5 Organizao da Norma

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

24

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS
6 Contextualizao
7 Viso Geral do Processo de Gesto de Riscos
de Segurana da Informao
8 Definio do Contexto
9 Anlise/Avaliao de Riscos de SI
10 Tratamento de Riscos de SI
11 Aceitao de Riscos de SI
12 Comunicao de Riscos
13 Monitoramento e Anlise Crtica de Riscos de SI

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

25

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS
Figura 02

ISO
27005

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

26

RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE

NEGCIOS
Figura 03
Tratamento
De
Riscos
ISO
27005

2015 - 2. Sem. RIPCN (Prof Cristina Aranha)

27