View
464
Download
1
Category
Preview:
DESCRIPTION
EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001
Citation preview
1
NBR ISO/IEC 27001SISTEMA DE GESTÃO
DE SEGURANÇA DA INFORMAÇÃO
FAZER UMA EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001 AFIM DE TORNAR CONHECIDO À TODOS PRESENTES A SUA FINALIDADE.
2/30
OBJETIVO
Introdução◦ Conceitos
Desenvolvimento◦ O que é a norma ISO 27001?◦ Para que serve?◦ Em que consiste?◦ Quais os benefícios para quem adotar?◦ Quanto tempo demora a preparação da certificação?◦ Alguns Objetivos de Controle e Controles
Conclusão Referências
3/30
Sumário
NBR ISO/IEC 270011. NBR - Denominação de norma da Associação
Brasileira de Normas Técnicas (ABNT)2. ISO - Organização Internacional para
Padronização1. International Organization for Standardization
3. IEC - Comissão Eletrotécnica Internacional1. International Electrotechnical Commission
4/30
Introdução
Família 27000 – ISO/IEC 27000 series - Descrição e Vocabulário
Organizações podem desenvolver e implementar uma estrutura para gerenciar a segurança de seus ativos de informação
Se preparar para uma avaliação independente do seu SGSI(Sistema de Gestão de Segurança da Informação) aplicado à proteção de informações
Normas1. ISO/IEC 27002:2005 - Código de Prática para Gestão da
Segurança da Informação2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança da
Informação3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI4. ISO/IEC 27014:2013 – Governança de segurança da
informação
5/30
Introdução
Publicado o código de prática pelo governo inglês
Publicado pelo BSI como BS 7799
1992 1995
1º Grande revisão da BS 7799
1999
Republicado como padrão Internacional
ISO/IEC 17799-1
2000
Publicada BS 7799-2
Especificação do SGSI
2002
Publicação BS 7799-2=ISO/IEC 27001
E NBR ISO/IEC 17799
2005
ABNT publica a NBR ISO/IEC 27001:2006
2006
ABNT publica a NBR ISO/IEC
27002:2007(Correção e Renomeação 17799-1)
2007 2013
27001:2013 substitui a 2005
6/30
Breve Histórico das Normas
Conceitos
◦ Sistema
Um conjunto de elementos inter-relacionados, cada qual desempenhando uma função, para, de forma integrada e coordenada, contribuir e garantir que o objetivo do sistema seja atingido – Teoria Geral dos Sistemas
7/30
Introdução
Introdução
Conceitos
◦ Gestão
São os mecanismos que têm de ser implantados para que tendências instintivas (naturais) originadas no auto-interesse das pessoas, sejam canalizadas para o interesse da empresa. - Clemente Nobrega
8/30
Introdução
Conceitos
◦ Segurança da Informação
Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. - ABNT NBR ISO/IEC 17799:2005
9/30
Introdução
Outros Conceitos◦ Risco
A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização -
◦ Ameaça Causa potencial de um incidente indesejado, que pode resultar
em dano para um sistema ou organização◦ Vulnerabilidade
Fraqueza de um ativo ou controle , que pode ser explorada por uma ameaça
◦ Impacto Mudança adversa no nível obtido dos objetivos de negócios
◦ Ativo Qualquer coisa que tenha valor para a organização
10/30
Introdução - Ecosistema de SI
11/30
Integrity
Responsibility
Confidentiality
Availability
Integrity
Information Security
Confidentiality
Authenticity Responsibility
Nonrepudiation
Confidentiality
Availability Integrity
Information Security
Reliability
Authenticity Responsibility
Nonrepudiation
PeopleProducts
Partners Process
Introdução – Visão Sistêmica
12/30
O que é a norma ISO 27001?
É um modelo/padrão e referência internacional para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.
13/30
Para que serve?
Para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.
É independente de fabricantes ◦ Se destina ao estabelecimento
Processos e Procedimento de acordo com realidade de cada organização
14/30
Em que consiste?
A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas:1. Onde são definidas as regras e os requisitos de
cumprimento da norma2. ANEXO A - Um conjunto de objetivos de controle e
controles que as organizações devem adotar – NORMATIVO
INFORMATIVOS1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A
COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e desta Norma
2. ANEXO C – Correspondência às Nomas ISO 9001 E 14001
15/30
Em que consiste?
16/30
ANEXO A-ISO27001:2006
Em que consiste?
17/30
ANEXO A-ISO27001:2006
Quais os benefícios para quem adoptar? Reduz o risco de responsabilidade por não
implantar um SGSI Identifica e corrige pontos fracos A alta direção assume a responsabilidade pela
SI Permite revisão independente do SGSI Oferece confiança aos stakeholders Melhor consciência sobre Segurança Combina recursos com outros sistemas de gestão Mecanismo para medir o sucesso
do Sistema
18/30
Quanto tempo demora para implementação do SGSI?
Varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano.
19/30
Política de segurança da informação◦ Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes
◦ Objetivos de Controle Documento da política de segurança da informação Análise crítica da política de segurança da
informação
20/30
Alguns Objetivos de Controle e Controles
21/30
Aspectos da gestão da continuidade do negócio, relativos à segurança da informação◦ Não permitir a interrupção das atividades do negócio e
proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
◦ Objetivos de Controle Incluindo segurança da informação no processo de gestão
da continuidade de negócio Desenvolvimento e implementação de planos de
continuidade relativos à segurança da informação
22/30
Alguns Objetivos de Controle e Controles
Alguns Objetivos de Controle e Controles
23/30
Responsabilidades dos usuários ◦ Prevenir o acesso não autorizado dos usuários e
evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação
◦ Objetivos de Controle Uso de senha Política de mesa limpa e tela limpa
24/30
Alguns Objetivos de Controle e Controles
25/30
Prioridade!!!
26/30
Principal Desafio
27/30
A NORMA NBR ISO/IEC 27001 é um modelo/padrão de boa prática para se alcançar níveis de maturidade cada vez maiores na área de Segurança da Informação e atingir o objetivo de implementar um SGSI.
28/30
Conclusão
Normas da família 27000
29/30
Referências
30/30
Recommended