O documento apresenta uma palestra sobre as normas da família ISO 27000, descrevendo o escopo e objetivos de normas como ISO 27001, ISO 27002, ISO 27003 e outras. O palestrante Fernando Palma introduz as normas e explica brevemente cada uma, incluindo ISO 27001 sobre requisitos para sistemas de gestão de segurança da informação e ISO 27002 com diretrizes de controle.
1. As normas da Família ISO 27000
ISO 27001 ISO 27002 ISO 27003
ISO 27004 ISO 27005 ISO 27009
ISO 27017 ISO 27031
Palestras virtuais Portal GSTI
ISO 27040
16/09/2014
Por Fernando Palma
fpalma@portalgsti.com.br
2. 16/09/2014
Facilitador: currículo resumido
Consultor em Governança de TI, Gestão de Serviços de TI e
Gestão da Segurança da Informação, sócio diretor na PMG
Solutions, mestrando em Adm. de Empresas, graduado em S. I.
pela UNIFACS. Possui certificações como ITIL Expert, ITIL
Manager, COBIT, OCEB, ISO 20.000 F e ISO 27.002 F. Professor
de pós-graduação na UNIJORGE e Ruy Barbosa, de concursos na
ITnerante e palestrante.
Fernando Palma
Fundador do Portal GSTI, onde tem publicado centenas de artigos, vídeo aulas e
palestras virtuais. Treinou mais de 1 mil profissionais em ITIL, COBIT e gestão da
segurança foi docente da Universidade Católica de Salvador. Atuou como
coordenador de TI no HBA, como professor de graduação na UCSAL, de cursos de
extensão na UNIFACS, como consultor, gerente de sistemas e coordenador de
servicedesk pela Avansys Tecologia.
3. 16/09/2014
Agenda da palestra: normas ISO 27000
Introdução
as normas
da família
ISO 27000
Parte 01
Escopo de
algumas
normas da
família ISO
27000
Parte 02
4. Normas da família ISO 27000
Parte 01
Segurança da informação
Família de normas p/ o SGSI
ISO/IEC 27000:2009, ISO/IEC 27001:2005,
ISO/IEC 27002:2005, ISO/IEC 27003:2010,
ISO/IEC 27004:2009, ISO/IEC 27005:2011,
ISO/IEC 27006:2011, ISO/IEC 27007:2011,
ISO/IEC TR 27008:2011, ISO/IEC 27010:2012,
ISO/IEC 27011:2008, ISO/IEC FDIS 27013,
ISO/IEC FDIS 27014, ISO/IEC TR 27015, ISO/IEC
27016
Outras normas p/ Segurança
ISO/IEC 27017, ISO 27019, ISO 27033-1, ISO 27033-2
ISO 27033-4, ISO 27033-5, ISO 27033-227033-6
ISO 27035, ISO 27040, ISO 27041, ISO 27042....
5. Agenda da palestra: normas ISO 27000
Introdução
as normas
da família
ISO 27000
Parte 01
Escopo de
algumas
normas da
família ISO
27000
Parte 02
16/09/2014
6. ISO 27000 ISO 27001 ISO 27002 ISO 27003
ISO 27004 ISO 27007 ISO 27010 ISO 27015
ISO 27015 ISO 27033 ISO 27034 ISO 27035
7. ISO 27000 – Overview do SGSI 16/09/2014
2. Termos e definições
3. Sobre SGSI
Controle de acesso, ativo, ativo
ataque, autenticação,
disponibilidade, confidencialidade,
integridade, incidente de segurança,
política procedimento, etc.
A razão para o SGSI, o que é,
segurança da informação,
abordagem por processos, etc.
4. Resumo da família ISO 2700 p/ o SGSI
0011 ddee 1122
9. ISO 27001 – requisitos para o SGSI 160/029 /d2e0 1142
Utilizada por empresas para 4.2.1
obter certificação empresarial
Estabelecimento
SGSI
4.2.3.
Monitoramento e
análise crítica do
SGSI
4.2.4. Manutenção
e Melhoria do SGSI
4.2.2.
Implementação e
Operação do SGSI
Plan
Do
Check
Act
Principal componente: requisitos do SGSI (seção 04)
02 de 12
10. 0. Introdução 1. Objetivo
Norma ISO
27001
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da
informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A
Objetivos de
controle e
controles
Anexo B
Anexo C
ISO 27001
11. ISO 27002 – Código de prática para segurança da informação 03 de 12
Utilizada em apoio a ISO 27001
Objetivos de controle e controles
Diretrizes
12. Controles
O que são?
Como?
Políticas
Procedimen
tos/Normas
Processos
Estruturas
organizacion
ais
Práticas
Devem ser
Estabelecidos Implementados
Monitorados
Avaliados criticamente
Melhorados
ISO 27002
13. 5.Política de segurança da informação
Norma ISO
27002
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
ISO 27002
14. ISO 27003 – diretrizes para a implementação do SGSI 04 de 12
Detalhes sobre a implementação do SGSI
Um guia para a empresa que implementa o SGSI
Uma abordagem baseada em processos
15. ISO 27003
1. Introdução
2 Referências normativas
3. Termos e definições
4 Estrutura
5 Obtenção de aprovação da administração para iniciar um
projeto de SGSI
6 Definição do escopo do SGSI, fronteiras e política de SGSI
7 Condução de uma avaliação do SGSI
8 Realização de avaliação de risco e plano de tratamento de
riscos
9 Planejando o SGSI
16. ISO 27004 – métricas de medição para a gestão da segurança
da informação
05 de 12
Como analisar e reportar dados
Responsabilidades na gerência de performance
Avaliação da eficácia do SGSI
17. ISO 27007 – diretrizes para guiar a auditoria do sistema de
gestão da segurança da informação.
06 de 12
Deve ser usada junto com a ISO 27006
Usada por organizações que trabalham com auditoria e
certificação de SGSI
18. ISO 27010 – comunicação em gestão da segurança da
informação.
07 de 12
Aborda um guia para a comunicação em gestão da
segurança da informação tanto no escopo da organização
como fora dela
Auxílio para quem deseja evoluir com as práticas através de
contatos e network entre partes de um mesmo segmento
de mercado
19. ISO/IEC 27015– Gestão da segurança da informação para
serviços financeiros
.
08 de 12
Gestão da segurança da informação para serviços
financeiros
ISO/IEC 27016: o mesmo raciocínio da 27015, só que para o
setor de economia
20. ISO/IEC 27017: controles específicos para cloud computing.
.
09 de 12
Controles complementares para serviços em cloud
computing.
21. ISO 27033: norma dividida em 06 partes para segurança em
redes.
.
10 de 12
ISO 27033-1 trata sobre a introdução e conceitos gerais
para segurança em redes.
ISO 27033-2: guia para o planejamento, desenho,
implementação e documentação da segurança em redes.
ISO 27033-3: tem o objetivo de definir os riscos específicos,
técnicas de projetos e controles relacionados a segurança
em redes.
22. ISO 27034: segurança de aplicações, também dividida em 06
partes
.
11 de 12
ISO 27034-1: trata sobre a introdução e conceitos gerais
para segurança em aplicações.
ISO 27034-2: trata sobre a organização normativa para
segurança em aplicações.
ISO 27034-3: guia para o processo de gestão da segurança
em aplicações.
23. ISO 27035: guia detalhado para a gestão de incidentes de
segurança da informação.
12 de 12
Cobre o processo de mapeamento de eventos e incidentes.
Auxilia na análise controle de vulnerabilidades.
24. Outras normas da família ISO 27000.
ISO 27037: orientações para a identificação, coleta, aquisição e preservação de
evidências forenses digitais.
ISO 27038: especificação para redação digital. Trata sobre requisitos para a
redação e compartilhamento da informação digital de forma adequada, seja ela
publicada internamente na organização ou a partes externas.
ISO 27799: gerenciamento de segurança da informação para a área de saúde.
ISO 27040: aspectos de segurança da informação para sistemas e
infraestrutura de storage.
25. Brinde de hoje!
Desconto no curso virtual ISO 27002 –
contato@portalgsti.com.br
26. Gostaria de ter
sua opinião
Sobre esta palestra
O que você achou deste evento?
Fim da
apresentação