View
106
Download
0
Category
Preview:
Citation preview
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
Segurança da Informação Segurança da Informação para a Governança de TIpara a Governança de TI
Coordenação-Geral de Segurança da Informação – DSR/SLTI
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
Agenda
Governança de TI
O que é?
Objetivos
ABNT 38500:2009
O SGSI
Conceitos e definições
Objetivos
Normas
Princípios e Diretrizes
O SGSI e a Governança de TI
A SI na APF
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
Governança de TI
O que é?O que é? Objetivos
A Norma ABNT NBR
ISO/IEC 38500:2009
Gov. TI: O que é?
Governança Corporativa
Sistema pelo qual as organizações
são dirigidas e controladas,
envolvendo os relacionamentos
entre Acionistas/Cotistas, Conselho
de Administração, Diretoria,
Auditoria Independente e Conselho
Fiscal. (adaptado do Relatório
Cadbury 1992 e OECD 1999)
Gov. TI: O que é?
Governança Corporativa de TI
Parte do Sistema Governança CorporativaSistema pelo qual o uso atual e futuro da TI é dirigido e controladoSignifica avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos. Inclui a estratégica e as políticas de uso da TI dentro da organização
Governança ≠ Gerenciamento
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
Governança de TI
O que é?O que é?
ObjetivosObjetivos A Norma ABNT NBR
ISO/IEC 38500:2009
Objetivos da Gov. de TIPromover o uso eficaz, eficiente e Promover o uso eficaz, eficiente e
aceitável da TIaceitável da TI
A maioria das organizações usa a TI como uma ferramenta fundamental do negócio e poucas podem funcionar eficazmente sem elaAs despesas com a TI podem representar uma porção significativa dos gastos de recursos financeiros e humanos
Objetivos da Gov. de TIPromover o uso eficaz, eficiente e Promover o uso eficaz, eficiente e
aceitável da TIaceitável da TI
Frequentemente o retorno desse investimento não é totalmente obtido, com grandes efeitos adversosA principal razão para esses resultados negativos é a ênfase nos aspectos técnico, financeiro e de programação das atividades de TI, ao invés do uso da TI no contexto geral do negócio
Objetivos da Gov. de TI
A Governança de TI busca alinhar os objetivos da TI com os objetivos
estratégicos e a finalidade da organização assegurar a conformidade da TI com as leis e
regulamentos definir com clareza as responsabilidades e
obrigatoriedades assegurar a continuidade e sustentabilidade do
negócio reduzir os custos da organização obter uma alocação eficiente de recursos
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
Governança de TI
O que é?O que é?
Objetivos
A Norma ABNT NBR A Norma ABNT NBR
ISO/IEC 38500:2009ISO/IEC 38500:2009
A Norma ABNT 38500Estabelece os princípios para o uso eficaz, Estabelece os princípios para o uso eficaz, eficiente e aceitável da TI e um modelo para eficiente e aceitável da TI e um modelo para a governança de TIa governança de TI
A norma assegura às organizações que seguem os princípios que os riscos serão melhor avaliados e as oportunidades serão melhor aproveitadasAs organizações que usam as orientações fornecidas nessa norma têm maior probabilidade de cumprir com suas obrigações
A Norma ABNT 38500PrincípiosPrincípios
Expressam o comportamento preferido
para orientar a tomada de decisão.
Referem-se ao que convém acontecer,
mas não descreve como, quando ou por
quem os princípios seriam implementados
A Norma ABNT 38500PrincípiosPrincípios
1. Responsabilidade
2. Estratégia
3. Aquisição
4. Desempenho
5. Conformidade
6. Comportamento Humano
A Norma ABTN 38500ModeloModelo
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
Sistema de Gestão da SIC
Conceitos e definiçõesConceitos e definiçõesObjetivos
Normas
Princípios e diretrizes
Informação, ativo de informação, disponibilidade, integridade, confidencialidade, autenticidade, segurança da informação, sistema de gestão de segurança da informação.
Conceitos e Definições
Conceitos e Definições
Informação – É o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe.
A informação é A informação é um ativo um ativo econômico e econômico e estratégicoestratégico
Conceitos e Definições
Tipos de Informação
Impressa ou escrita em papel
Armazenada eletronicamente
Verbal
Internas da organização
De clientes e fornecedores
De parceiros
Conceitos e Definições
Ativo de informação – Meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso (Portaria Nº45 – 8/09/2009 - GSIPR)
Conceitos e Definições
Disponibilidade – Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada (ISO 27.001)
Integridade – Propriedade de salvaguarda da exatidão e completeza de ativos (ISO 27.001)
Confidencialidade – Propriedades de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados (ISO 27.001)
Autenticidade – Propriedades de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoas física, ou por um determinado sistema, órgão ou entidade (IN01 GSIPR)
D I C AD I C A
Conceitos e Definições
Segurança da informação – Preservação da disponibilidade, integridade e confidencialidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ABNT NBR ISO/IEC 27.001:2006)
Conceitos e Definições
Sistema de Gestão de Segurança da Informação SGSI – A parte do sistema global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação (ABNT NBR ISO/IEC 27.001:2006)
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
Sistema de Gestão da SIC
Conceitos e definições
Objetivos Objetivos Normas
Princípios e diretrizes
Objetivos da SIC
Preservar:Preservar:
Informação DICA
Organização Missão Continuidade do Negócio Conformidade Legal Imagem Credibilidade
Objetivos da SIC
Evitar e MinimizarEvitar e Minimizar
RiscosVulnerabilidadesPrejuízosVazamento de informação sensível, sigilosa ou críticaIncidentes
DescontinuidadesDesastresCrisesRoubo de informaçõesNão conformidades legais
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
Sistema de Gestão da SIC
Conceitos e definições
Objetivos
NormasNormas Princípios e diretrizes
Normas de SI para a APFO GSIPR, por meio do DSIC, é o órgão responsável por editar normas de SIC para a APF.
Quais as principais normas emanadas pelo GSIPR?
IN 01 (18/06/2008) - Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências.
NC 01 (15/10/2008) – Disciplina a Atividade de Normatização.
NC 02 (14/10/2008) – Metodologia de Gestão de SIC.
Normas de SI para a APFO GSIPR, por meio do DSIC, é o órgão responsável por editar normas de SIC para a APF.
Quais as principais normas emanadas pelo GSIPR?
NC 03 (03/07/2009) – Define diretrizes para a Elaboração da PoSIC.
NC 04 (17/08/2009) – Define diretrizes para o processo de GRSIC
NC05 (17/08/2009) – Disciplina a criação de ETIRs.
Normas de SI para a APFO GSIPR, por meio do DSIC, é o órgão responsável por editar normas de SIC para a APF.
Quais as principais normas emanadas pelo GSIPR?
NC06 (23/11/2009) – Estabelece diretrizes para a GCN nos aspectos de SIC.
NC07 (07/05/2010) – Estabelece diretrizes para Implementação de Controles de Acesso.
NC08 (24/08/2010) – Estabelece diretrizes para GIRC.
NC09 (22/11/2010) – Diretrizes de uso de recursos criptográficos.
Normas de SI para a APFAlém dos normativos do GSIPR, há ainda decretos e normas da ABNT que orientam as ações de SIC na APF.
D3505 (13/06/2000) – Institui a PoSIC nos órgãos e entidades da APF.
D4553 (27/12/2002) – Dispõe sobre diretrizes e métodos para classificação da informação.
ABNT NBR ISO/IEC 27.001:2006 – Define requisitos para SGSI.
ABNT NBR ISO/IEC 27.002:2006 – Código de práticas para a gestão de SIC (GUIA DE MELHORES PRÁTICAS)!!!!
Normas de SI para a APFAlém dos normativos do GSIPR, há ainda decretos e normas da ABNT que orientam as ações de SIC na APF.
ABNT NBR ISO/IEC 27.004:2010 – Estabelece diretrizes para o desenvolvimento e uso de métricas e medições dos controles de SI.
ABNT NBR ISO/IEC 27.005:2008 – Fornece diretrizes para o processo de gestão de riscos de SI.
ABNT NBR ISO/IEC 27.003:2011 – Diretrizes para implantação do SGSI.
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
Sistema de Gestão da SIC
Conceitos e definições
Objetivos
Normas
Princípios e diretrizesPrincípios e diretrizes
Princípios e Diretrizes de SIA SI é responsabilidade da alta direção da organização
Não é responsabilidade apenas do gestor de TI
Mas precisa de uma arquitetura que sustente a SI
Delegar atribuições é fundamental (Gestor de SIC, proprietário da informação, custodiante da informação, etc)
Princípios e Diretrizes de SIA SI é responsabilidade da alta direção da organização
Evidências do comprometimento da alta direção:
PoSIC Plano e objetivos de SIC Papéis e responsabilidades Comunicar a importância da SIC Assegurar os recurso$ necessários para as ações de
SIC Definir critérios e níveis de risco aceitáveis Garantir auditorias do SGSI
Um dos maiores desafios
Princípios e Diretrizes de SIPoSIC, objetivos e atividades de SIC que reflitam os objetivos do negócio
Alinhamento entre a SIC e objetivos estratégicos, estrutura e finalidade da instituição
A Gestão de SIC deve suportar a tomada de decisão na organização
PoSIC – primeiro passo
Nada acontece sem a PoSIC
PoSIC sem processos, atividades, estrutura, recurso$, normas, não é muito útil
Princípios e Diretrizes de SITreinamento e conscientização
Muitas vezes, as pessoas são o elo fraco da corrente
O sucesso do programa de SI depende
do bom entendimento dos requisitos de SI, da análise/avaliação de riscos e da gestão de riscos
da divulgação eficiente das ações
Princípios e Diretrizes de SIImplementação de um sistema de medição
“O que não é medido, não é gerenciado”
Não é necessário criar métricas complexas, o básico já é suficiente
A norma 27.004 pode auxiliar
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
O SGSI e a Governança de TI
SGSI e Gov. TIModelo de Gov. TI e as InformaçõesModelo de Gov. TI e as Informações
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
A SIC na APF
A SIC na APFCertificação Digital nos Certificação Digital nos
Sistemas Estruturantes da APFSistemas Estruturantes da APF
Certificado Digital Documento eletrônico que se destina a
registrar de forma única, exclusiva e intransferível a relação entre uma chave de criptografia e uma PJ, PF, máquina ou aplicação
A SIC na APFCertificação Digital nos Certificação Digital nos
Sistemas Estruturantes da APFSistemas Estruturantes da APF
Certificado Digital Tem por finalidade garantir a identidade
das partes envolvidas em uma transação e proteger as informações sob a guarda do estado
Possui validade jurídica Permite
AgilidadeRedução de custos
A SIC na APFCertificação Digital nos Certificação Digital nos
Sistemas Estruturantes da APFSistemas Estruturantes da APF
Certificado Digital Permite
GEDEconomia de recursos naturaisSegurança
• APF• Cidadão
A SIC na APFCertificação Digital nos Certificação Digital nos
Sistemas Estruturantes da APFSistemas Estruturantes da APF
Sistemas Estruturantes (30) SIAPE SIASG COMPRASNET SIDOR SIAPA SIORG SCDP SICONV
A SIC na APFCertificação Digital nos Certificação Digital nos
Sistemas Estruturantes da APFSistemas Estruturantes da APF
Desafios Emissão presencial Servidores distribuídos em todo o território
nacional Treinamento dos multiplicadores Pagamento dos CDs 120 redes do Governo Manuais de usuário
A SIC na APFCertificação Digital nos Certificação Digital nos
Sistemas Estruturantes da APFSistemas Estruturantes da APF
A SIC na APFCertificação Digital nos Certificação Digital nos
Sistemas Estruturantes da APFSistemas Estruturantes da APF
A SIC na APF
Infovia BrasíliaInfovia Brasília
O que é? Infraestrutura de rede ótica
metropolitana de comunicações, construída para fornecer, aos órgãos do Governo Federal situados em Brasília, um conjunto de serviços e funcionalidades em ambiente seguro, de alta performance e de alta disponibilidade
A SIC na APF
Infovia BrasíliaInfovia Brasília
Objetivos
Proporcionar uma significativa redução dos custos de comunicação e um ambiente capaz de servir de suporte à implementação das políticas públicas de Governo
A SIC na APF
Infovia BrasíliaInfovia Brasília
SIC na Infovia Garantir a DICA por meio
Gestão de Ativos de InformaçãoGestão de RiscosSegurança FísicaGestão de operações e comunicaçõesControle de AcessoTratamento de IncidentesGestão de Continuidade
A SIC na APF
e-PINGe-PINGO que é?
Arquitetura que define um conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação (TIC) no governo federal, estabelecendo as condições de interação com os demais Poderes e esferas de governo e com a sociedade em geral.
A SIC na APF
e-PINGe-PINGGT Segurança
Este segmento trata dos aspectos de segurança de TIC que o governo federal deve considerar. São tratados os padrões para: Segurança de IP Segurança de Correio Eletrônico Criptografia Desenvolvimento de Sistemas Serviços de Rede Coleta e arquivamento de evidências
A SIC na APF
e-PINGe-PINGSituação atual dos padrões e-PING
A – Adotado R – Recomendado T – Em TransiçãoE – Em Estudo F – Estudo Futuro
A SIC na APF
e-PINGe-PINGSituação atual dos padrões e-PING
https://www.consultas.governoeletronico.gov.br/ConsultasPublicas/consultas.do?acao=exibir&id=96
A SIC na APF
NSIC – Núcleo de SIC do SISPNSIC – Núcleo de SIC do SISPO NSIC é um Fórum de Discussão dos
Desafios da SIC para o SISP
A SIC na APF
NSIC – Núcleo de SIC do SISPNSIC – Núcleo de SIC do SISP Instituído pela Resolução
SLTI nº 5, de 21 de dezembro de 2011.
Objetivo principais realizar estudos sobre SIC elaborar e implementar normas de
SIC divulgar, implementar e monitorar
boas práticas propor capacitação de servidores
em SIC
A SIC na APF
NSIC – Núcleo de SIC do SISPNSIC – Núcleo de SIC do SISP Característica
assessoramento técnico e consultivo manifesta-se por recomendações à
Comissão de Coordenação do SISP
Composição representantes
do SISP outros órgãos ou entidades públicos e
privados especialistas e consultores em SIC
Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO
Obrigado!Obrigado!
monade.costa@planejamento.gov.br
Recommended