A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.
2. FAZER UMA EXPLANAÇÃO SOBRE A NORMA
NBR ISO/IEC 27001 AFIM DE TORNAR
CONHECIDO À TODOS PRESENTES A SUA
FINALIDADE.
2/30
3. Introdução
◦ Conceitos
Desenvolvimento
◦ O que é a norma ISO 27001?
◦ Para que serve?
◦ Em que consiste?
◦ Quais os benefícios para quem adotar?
◦ Quanto tempo demora a preparação da certificação?
◦ Alguns Objetivos de Controle e Controles
Conclusão
Referências
3/30
4. NBR ISO/IEC 27001
1. NBR - Denominação de norma da Associação
Brasileira de Normas Técnicas (ABNT)
2. ISO - Organização Internacional para
Padronização
1. International Organization for Standardization
3. IEC - Comissão Eletrotécnica Internacional
1. International Electrotechnical Commission
4/30
5. Família 27000 – ISO/IEC 27000 series - Descrição e
Vocabulário
Organizações podem desenvolver e implementar uma
estrutura para gerenciar a segurança de seus ativos de
informação
Se preparar para uma avaliação independente do seu
SGSI(Sistema de Gestão de Segurança da Informação) aplicado
à proteção de informações
Normas
1. ISO/IEC 27002:2005 - Código de Prática para Gestão da
Segurança da Informação
2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança
da Informação
3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI
4. ISO/IEC 27014:2013 – Governança de segurança da
informação
5/30
6. Publicado o código
de prática pelo
governo inglês
Publicado pelo
BSI como BS 7799
1992 1995
1º Grande revisão
da BS 7799
1999
Republicado
como padrão
Internacional
ISO/IEC 17799-1
2000
Publicada BS
7799-2
Especificação do
SGSI
2002
Publicação
BS 7799-2=ISO/IEC 27001
E NBR ISO/IEC 17799
2005
ABNT publica a
NBR ISO/IEC
27001:2006
2006
ABNT publica a NBR
ISO/IEC
27002:2007(Correção e
Renomeação 17799-1)
2007 2013
27001:2013 substitui a
2005
6/30
7. Conceitos
◦ Sistema
Um conjunto de elementos inter-relacionados, cada
qual desempenhando uma função, para, de forma
integrada e coordenada, contribuir e garantir que o
objetivo do sistema seja atingido – Teoria Geral dos
Sistemas
7/30
8. Conceitos
◦ Gestão
São os mecanismos que têm de ser implantados para
que tendências instintivas (naturais) originadas no
auto-interesse das pessoas, sejam canalizadas para o
interesse da empresa. - Clemente Nobrega
8/30
9. Conceitos
◦ Segurança da Informação
Preservação da confidencialidade, integridade e
disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade, podem
também estar envolvidas. - ABNT NBR ISO/IEC
17799:2005
9/30
10. Outros Conceitos
◦ Risco
A possibilidade de uma determinada ameaça explorar
vulnerabilidades de um ativo ou de um conjunto de
ativos, desta maneira prejudicando a organização -
◦ Ameaça
Causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou organização
◦ Vulnerabilidade
Fraqueza de um ativo ou controle , que pode ser explorada
por uma ameaça
◦ Impacto
Mudança adversa no nível obtido dos objetivos de negócios
◦ Ativo
Qualquer coisa que tenha valor para a organização
10/30
13. É um modelo/padrão e referência
internacional para
estabelecer, implementar, operar, monitorar,
analisar criticamente, manter e melhorar um
SGSI.
13/30
14. Para que as organizações adotem um modelo
adequado de
estabelecimento, implementação, operação, monito
rização, revisão e gestão de um Sistema de Gestão
de Segurança da Informação.
É independente de fabricantes
◦ Se destina ao estabelecimento
Processos e Procedimento de acordo com realidade de
cada organização
14/30
15. A norma padrão (Standard) ISO 27001 é
composta por duas componentes relativamente
distintas:
1. Onde são definidas as regras e os requisitos de
cumprimento da norma
2. ANEXO A - Um conjunto de objetivos de controle e
controles que as organizações devem adotar –
NORMATIVO
INFORMATIVOS
1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A
COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e
desta Norma
2. ANEXO C – Correspondência às Nomas ISO 9001 E
14001
15/30
18. Reduz o risco de responsabilidade por não
implantar um SGSI
Identifica e corrige pontos fracos
A alta direção assume a responsabilidade pela SI
Permite revisão independente do SGSI
Oferece confiança aos stakeholders
Melhor consciência sobre Segurança
Combina recursos com outros sistemas de
gestão
Mecanismo para medir o sucesso
do Sistema
18/30
19. Varia de acordo com a realidade, maturidade
e dimensão de cada organização, mas
considera-se razoável estabelecer como
tempo médio o período entre seis meses e
um ano.
19/30
20. Política de segurança da informação
◦ Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os
requisitos do negócio e com as leis e
regulamentações relevantes
◦ Objetivos de Controle
Documento da política de segurança da informação
Análise crítica da política de segurança da informação
20/30
22. Aspectos da gestão da continuidade do
negócio, relativos à segurança da informação
◦ Não permitir a interrupção das atividades do
negócio e proteger os processos críticos contra
efeitos de falhas ou desastres significativos, e
assegurar a sua retomada em tempo hábil, se for o
caso.
◦ Objetivos de Controle
Incluindo segurança da informação no processo de
gestão da continuidade de negócio
Desenvolvimento e implementação de planos de
continuidade relativos à segurança da informação
22/30
24. Responsabilidades dos usuários
◦ Prevenir o acesso não autorizado dos usuários e
evitar o comprometimento ou roubo da informação
e dos recursos de processamento da informação
◦ Objetivos de Controle
Uso de senha
Política de mesa limpa e tela limpa
24/30
28. A NORMA NBR ISO/IEC 27001 é um
modelo/padrão de boa prática para se
alcançar níveis de maturidade cada vez
maiores na área de Segurança da Informação
e atingir o objetivo de implementar um SGSI.
28/30