Iso27001 sgsi

1,226 views

Published on

EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,226
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
198
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Iso27001 sgsi

  1. 1. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1
  2. 2.  FAZER UMA EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001 AFIM DE TORNAR CONHECIDO À TODOS PRESENTES A SUA FINALIDADE. 2/30
  3. 3.  Introdução ◦ Conceitos  Desenvolvimento ◦ O que é a norma ISO 27001? ◦ Para que serve? ◦ Em que consiste? ◦ Quais os benefícios para quem adotar? ◦ Quanto tempo demora a preparação da certificação? ◦ Alguns Objetivos de Controle e Controles  Conclusão  Referências 3/30
  4. 4.  NBR ISO/IEC 27001 1. NBR - Denominação de norma da Associação Brasileira de Normas Técnicas (ABNT) 2. ISO - Organização Internacional para Padronização 1. International Organization for Standardization 3. IEC - Comissão Eletrotécnica Internacional 1. International Electrotechnical Commission 4/30
  5. 5.  Família 27000 – ISO/IEC 27000 series - Descrição e Vocabulário  Organizações podem desenvolver e implementar uma estrutura para gerenciar a segurança de seus ativos de informação  Se preparar para uma avaliação independente do seu SGSI(Sistema de Gestão de Segurança da Informação) aplicado à proteção de informações  Normas 1. ISO/IEC 27002:2005 - Código de Prática para Gestão da Segurança da Informação 2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança da Informação 3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI 4. ISO/IEC 27014:2013 – Governança de segurança da informação 5/30
  6. 6. Publicado o código de prática pelo governo inglês Publicado pelo BSI como BS 7799 1992 1995 1º Grande revisão da BS 7799 1999 Republicado como padrão Internacional ISO/IEC 17799-1 2000 Publicada BS 7799-2 Especificação do SGSI 2002 Publicação BS 7799-2=ISO/IEC 27001 E NBR ISO/IEC 17799 2005 ABNT publica a NBR ISO/IEC 27001:2006 2006 ABNT publica a NBR ISO/IEC 27002:2007(Correção e Renomeação 17799-1) 2007 2013 27001:2013 substitui a 2005 6/30
  7. 7.  Conceitos ◦ Sistema  Um conjunto de elementos inter-relacionados, cada qual desempenhando uma função, para, de forma integrada e coordenada, contribuir e garantir que o objetivo do sistema seja atingido – Teoria Geral dos Sistemas 7/30
  8. 8.  Conceitos ◦ Gestão  São os mecanismos que têm de ser implantados para que tendências instintivas (naturais) originadas no auto-interesse das pessoas, sejam canalizadas para o interesse da empresa. - Clemente Nobrega 8/30
  9. 9.  Conceitos ◦ Segurança da Informação  Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. - ABNT NBR ISO/IEC 17799:2005 9/30
  10. 10.  Outros Conceitos ◦ Risco  A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização - ◦ Ameaça  Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização ◦ Vulnerabilidade  Fraqueza de um ativo ou controle , que pode ser explorada por uma ameaça ◦ Impacto  Mudança adversa no nível obtido dos objetivos de negócios ◦ Ativo  Qualquer coisa que tenha valor para a organização 10/30
  11. 11. 11/30 Integrity Responsibility Confidentiality Availability Integrity Information Security Confidentiality Authenticity Responsibility Non repudiation Confidentiality Availability Integrity Information Security Reliability Authenticity Responsibility Non repudiation PeopleProducts Partners Process
  12. 12. 12/30
  13. 13.  É um modelo/padrão e referência internacional para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 13/30
  14. 14.  Para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monito rização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.  É independente de fabricantes ◦ Se destina ao estabelecimento  Processos e Procedimento de acordo com realidade de cada organização 14/30
  15. 15.  A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: 1. Onde são definidas as regras e os requisitos de cumprimento da norma 2. ANEXO A - Um conjunto de objetivos de controle e controles que as organizações devem adotar – NORMATIVO  INFORMATIVOS 1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e desta Norma 2. ANEXO C – Correspondência às Nomas ISO 9001 E 14001 15/30
  16. 16. 16/30 ANEXO A- ISO27001:2006
  17. 17. 17/30 ANEXO A- ISO27001:2006
  18. 18.  Reduz o risco de responsabilidade por não implantar um SGSI  Identifica e corrige pontos fracos  A alta direção assume a responsabilidade pela SI  Permite revisão independente do SGSI  Oferece confiança aos stakeholders  Melhor consciência sobre Segurança  Combina recursos com outros sistemas de gestão  Mecanismo para medir o sucesso do Sistema 18/30
  19. 19.  Varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano. 19/30
  20. 20.  Política de segurança da informação ◦ Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes ◦ Objetivos de Controle  Documento da política de segurança da informação  Análise crítica da política de segurança da informação 20/30
  21. 21. 21/30
  22. 22.  Aspectos da gestão da continuidade do negócio, relativos à segurança da informação ◦ Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. ◦ Objetivos de Controle  Incluindo segurança da informação no processo de gestão da continuidade de negócio  Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação 22/30
  23. 23. 23/30
  24. 24.  Responsabilidades dos usuários ◦ Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação ◦ Objetivos de Controle  Uso de senha  Política de mesa limpa e tela limpa 24/30
  25. 25. 25/30
  26. 26. Prioridade!!! 26/30
  27. 27. 27/30
  28. 28.  A NORMA NBR ISO/IEC 27001 é um modelo/padrão de boa prática para se alcançar níveis de maturidade cada vez maiores na área de Segurança da Informação e atingir o objetivo de implementar um SGSI. 28/30
  29. 29.  Normas da família 27000 29/30
  30. 30. 30/30

×