Uploaded on

MOD 4 SGSI

MOD 4 SGSI

More in: Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
291
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
38
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning
  • 2. Módulo 4 Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005
  • 3. Norma NBR ISO/IEC 27001 – Índice 0 – Introdução 1 – Objetivo 2 – Referência normativa 3 – Termos e definições 4 – Sistema de Gestão de Segurança da Informação 5 – Responsabilidade da direção 6 – Auditorias internas do SGSI 7 – Análise crítica do SGSI pela direção 8 – Melhoria do SGSI Anexo A – Objetivos de controle e controles Anexo B – Princípios da OECD e desta norma Anexo C – Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta norma
  • 4. 0 – Introdução 0.1 – Geral A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. A adoção de um SGSI deve ser uma decisão estratégica para uma organização. O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização. É esperado que o SGSI e os sistemas de apoio mudem com o tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização. Por exemplo, uma situação simples requer uma solução simples. A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas.
  • 5. 0.2 – Abordagem de processo Atividades e recursos Clientes externos e internos atendidos em relação ao aumento da segurança da informação • Necessidades de SI • Expectativas de SI • Requisitos organizacionais • Requisitos da ISO 27001 • Processos da organização Entrada Saída
  • 6. 0.2 – Abordagem de processo A B C E D ... A) Entendimento e atendimento aos requisitos B) Valor agregado C) Resultado de desempenho e eficácia dos processos D) Melhoria contínua com base em medições objetivas
  • 7. 0.2 – Abordagem de processo Planejar Estabelecer objetivos e processos Resultados para clientes e para a organização Fazer Implementar os processos Verificar Monitorar/medir processos e produtos Agir Agir para melhorar continuamente o desempenho dos processos
  • 8. 0.2 – Abordagem de processo Modelo do PDCA Aplicado ao SGSI Partes interessadas Partes interessadas Estabelecer Manter e melhorar Implementar e operar Monitorar e revisar Expectativas e requisitos de segurança da informação Segurança da Informação gerenciada P C AD Ciclo de desenvolvimento, manutenção e melhoria
  • 9. 0.2 – Abordagem de processo Fase “planejar” Definir o escopo do SGSI Definir uma política para o SGSI Definir objetivos e metas Identificar os riscos Avaliar os riscos Selecionar objetivos de controle e controles Preparar uma declaração de aplicabilidade
  • 10. 0.2 – Abordagem de processo Fase “fazer” Formular um plano de tratamento de risco Implementar o plano de tratamento de risco Implementar os controles selecionados para atingir os objetivos de controle
  • 11. 0.2 – Abordagem de processo Fase “verificar” Executar monitoramento dos processos Conduzir auditorias internas do SGSI em intervalos planejados Realizar análise críticas regulares da eficácia do SGSI Analisar criticamente os níveis de risco residual e riscos aceitáveis
  • 12. 0.2 – Abordagem de processo Fase “agir” Implementar as melhorias identificadas Tomar ações corretivas e preventivas apropriadas Comunicar os resultados e ações Garantir que as melhorias atendem aos objetivos pretendidos
  • 13. 0.3 – Compatibilidade com outros sistema de gestão ISO 27001 – Gestão de Segurança da Informação é alinhada com: ISO 9001 – Gestão da Qualidade e com ISO 14001 – Gestão do Meio Ambiente e com OSHAS 18001 – Gestão de Saúde e Segurança do Trabalhador Possível adaptação a sistemas já existentes na organização.
  • 14. 1 – Objetivo 1.1 – Geral A norma ISO 27001: Cobre todos os tipos de organizações. Especifica requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.
  • 15. Requisitos genéricos Exclusões (itens não atendidos pela organização): • Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos. • Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem aceitas, e não podem comprometer a capacidade da organização de atender requisitos de segurança da informação determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. 1.2 – Aplicação Qualquer tipo Qualquer tamanho Qualquer produto/serviço A ISO 27001 é aplicável a qualquer organização
  • 16. NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a Gestão de Segurança da Informação 2 – Referência normativa
  • 17. 3 – Termos e definições Ativo – qualquer coisa que tenha valor para a organização Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade – propriedade de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não-repúdio e confiabilidade podem também estar envolvidos Evento de segurança da informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação
  • 18. 3 – Termos e definições Incidente de segurança da informação – um ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Sistema de Gestão de Segurança da Informação – SGSI – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação Integridade – propriedade de salvaguarda da exatidão e complexidade de ativos Risco residual – risco remanescente após o tratamento de riscos Aceitação do risco – decisão de aceitar um risco Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco
  • 19. 3 – Termos e definições Análise/avaliação de riscos – processo completo de análise e avaliação de riscos Avaliação de riscos – processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco Gestão de riscos – atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Tratamento de risco – processo de seleção e implementação de medidas para modificar um risco Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização
  • 20. Exercício Indique se é verdadeiro ou falso: 1 - ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 4 - ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( ) Identificar e avaliar riscos estão contidos na fase “fazer”. 6 - ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
  • 21. Resposta Indique se é verdadeiro ou falso: 1 - ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 2 - ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 - ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas orientativa) 4 - ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 - ( F ) Identificar e avaliar riscos estão contidos na fase “fazer”. (estão contidos na fase “planejar”) 6 - ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos. 7 - ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 - ( F ) Risco residual não é risco remanescente após o tratamento de riscos 9 - ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.
  • 22. Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005 Fim do módulo 4