O documento apresenta informações sobre a norma NBR ISO/IEC 27001. Ela define os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação. A norma tem como objetivo ajudar as organizações a adotarem modelos adequados para lidar com segurança da informação de forma sistemática.

1. SISTEMA DE GESTÃO
DE SEGURANÇA DA INFORMAÇÃO
1

2.  Profissional
◦ Professor
Diretor de Comunicação – SUCESU CEARÁ
◦ Estudante independente em Governança, Risco e Compliance
 Formação
◦ FIC
 Superior de Formação Específica em Projetos e Implementação de Redes
de Computadores
 Tecnólogo em Redes de Computadores
◦ FATENE
 MBA em Gerência de Redes de Computadores e Telecomunicações
 Certificações
 ITIL OSA INTERMEDIATE
 ISO 27002 Foundation
 ITIL Foundation V2/V3
 ISO 20000 Foundation
 MTA Security Fundamentals

3.  FAZER UMA EXPLANAÇÃO SOBRE A NORMA
NBR ISO/IEC 27001 AFIM DE TORNAR
CONHECIDO À TODOS PRESENTES A SUA
FINALIDADE.
3/30

4.  Introdução
◦ Conceitos
 Desenvolvimento
◦ O que é a norma ISO 27001?
◦ Para que serve?
◦ Em que consiste?
◦ Quais os benefícios para quem adotar?
◦ Quanto tempo demora a preparação da certificação?
◦ Alguns Objetivos de Controle e Controles
 Conclusão
 Referências
4/30

5.  NBR ISO/IEC 27001
1. NBR - Denominação de norma da Associação
Brasileira de Normas Técnicas (ABNT)
2. ISO - Organização Internacional para
Padronização
1. International Organization for Standardization
3. IEC - Comissão Eletrotécnica Internacional
1. International Electrotechnical Commission
5/30

6.  Família 27000 – ISO/IEC 27000 series - Descrição e
Vocabulário
 Organizações podem desenvolver e implementar uma
estrutura para gerenciar a segurança de seus ativos de
informação
 Se preparar para uma avaliação independente do seu
SGSI(Sistema de Gestão de Segurança da Informação) aplicado
à proteção de informações
 Normas
1. ISO/IEC 27002:2005 - Código de Prática para Gestão da
Segurança da Informação
2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança
da Informação
3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI
4. ISO/IEC 27014:2013 – Governança de segurança da
informação
6/30

7. Publicado o código
de prática pelo
governo inglês
Publicado pelo
BSI como BS 7799
1992 1995
1º Grande revisão
da BS 7799
1999
Republicado
como padrão
Internacional
ISO/IEC 17799-1
2000
Publicada BS
7799-2
Especificação do
SGSI
2002
Publicação
BS 7799-2=ISO/IEC 27001
E NBR ISO/IEC 17799
2005
ABNT publica a
NBR ISO/IEC
27001:2006
2006
ABNT publica a NBR
ISO/IEC
27002:2007(Correção e
Renomeação 17799-1)
2007 2013
27001:2013 substitui a
2005
7/30

8.  Conceitos
◦ Sistema
 Um conjunto de elementos inter-relacionados, cada
qual desempenhando uma função, para, de forma
integrada e coordenada, contribuir e garantir que o
objetivo do sistema seja atingido – Teoria Geral dos
Sistemas
8/30

9.  Conceitos
◦ Gestão
 São os mecanismos que têm de ser implantados para
que tendências instintivas (naturais) originadas no
auto-interesse das pessoas, sejam canalizadas para o
interesse da empresa. - Clemente Nobrega
9/30

10.  Conceitos
◦ Segurança da Informação
 Preservação da confidencialidade, integridade e
disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade, podem
também estar envolvidas. - ABNT NBR ISO/IEC
17799:2005
10/3
0

11.  Outros Conceitos
◦ Risco
 A possibilidade de uma determinada ameaça explorar
vulnerabilidades de um ativo ou de um conjunto de ativos,
desta maneira prejudicando a organização -
◦ Ameaça
 Causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou organização
◦ Vulnerabilidade
 Fraqueza de um ativo ou controle , que pode ser explorada
por uma ameaça
◦ Impacto
 Mudança adversa no nível obtido dos objetivos de negócios
◦ Ativo
 Qualquer coisa que tenha valor para a organização
11/30

12. 12/30
Integrity
Responsibility
Confidentiality
Availability Integrity
Information
Security
Confidentiality
Authenticity Responsibility
Non
repudiation
Confidentiality
Availability Integrity
Information
Security
Reliability
Authenticity Responsibility
Non
repudiation
PeopleProducts
Partners Process

13. 13/30

14.  É um modelo/padrão e referência
internacional para estabelecer, implementar,
operar, monitorar, analisar criticamente,
manter e melhorar um SGSI.
14/30

15.  Para que as organizações adotem um modelo
adequado de estabelecimento, implementação,
operação, monitorização, revisão e gestão de um
Sistema de Gestão de Segurança da Informação.
 É independente de fabricantes
◦ Se destina ao estabelecimento
 Processos e Procedimento de acordo com realidade de
cada organização
15/30

16.  A norma padrão (Standard) ISO 27001 é
composta por duas componentes relativamente
distintas:
1. Onde são definidas as regras e os requisitos de
cumprimento da norma
2. ANEXO A - Um conjunto de objetivos de controle e
controles que as organizações devem adotar –
NORMATIVO
 INFORMATIVOS
1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A
COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e
desta Norma
2. ANEXO C – Correspondência às Nomas ISO 9001 E
14001
16/30

17. 17/30
ANEXO A-
ISO27001:2006

18. 18/30
ANEXO A-
ISO27001:2006

19.  Reduz o risco de responsabilidade por não
implantar um SGSI
 Identifica e corrige pontos fracos
 A alta direção assume a responsabilidade pela SI
 Permite revisão independente do SGSI
 Oferece confiança aos stakeholders
 Melhor consciência sobre Segurança
 Combina recursos com outros sistemas de
gestão
 Mecanismo para medir o sucesso
do Sistema
19/30

20.  Varia de acordo com a realidade, maturidade
e dimensão de cada organização, mas
considera-se razoável estabelecer como
tempo médio o período entre seis meses e
um ano.
20/30

21.  Política de segurança da informação
◦ Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os
requisitos do negócio e com as leis e
regulamentações relevantes
◦ Objetivos de Controle
 Documento da política de segurança da informação
 Análise crítica da política de segurança da informação
21/30

22. 22/30

23.  Aspectos da gestão da continuidade do
negócio, relativos à segurança da informação
◦ Não permitir a interrupção das atividades do
negócio e proteger os processos críticos contra
efeitos de falhas ou desastres significativos, e
assegurar a sua retomada em tempo hábil, se for o
caso.
◦ Objetivos de Controle
 Incluindo segurança da informação no processo de
gestão da continuidade de negócio
 Desenvolvimento e implementação de planos de
continuidade relativos à segurança da informação
23/30

24. 24/30

25.  Responsabilidades dos usuários
◦ Prevenir o acesso não autorizado dos usuários e
evitar o comprometimento ou roubo da informação
e dos recursos de processamento da informação
◦ Objetivos de Controle
 Uso de senha
 Política de mesa limpa e tela limpa
25/30

26. 26/30

27. Prioridade!!!
27/30

28. 28/30

29.  A NORMA NBR ISO/IEC 27001 é um
modelo/padrão de boa prática para se
alcançar níveis de maturidade cada vez
maiores na área de Segurança da Informação
e atingir o objetivo de implementar um SGSI.
29/30

30.  Normas da família 27000
30/30

31. 31/30