O documento apresenta informações sobre a norma NBR ISO/IEC 27001. Ela define os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação. A norma tem como objetivo ajudar as organizações a adotarem modelos adequados para lidar com segurança da informação de forma sistemática.
2. Profissional
◦ Professor
Diretor de Comunicação – SUCESU CEARÁ
◦ Estudante independente em Governança, Risco e Compliance
Formação
◦ FIC
Superior de Formação Específica em Projetos e Implementação de Redes
de Computadores
Tecnólogo em Redes de Computadores
◦ FATENE
MBA em Gerência de Redes de Computadores e Telecomunicações
Certificações
ITIL OSA INTERMEDIATE
ISO 27002 Foundation
ITIL Foundation V2/V3
ISO 20000 Foundation
MTA Security Fundamentals
3. FAZER UMA EXPLANAÇÃO SOBRE A NORMA
NBR ISO/IEC 27001 AFIM DE TORNAR
CONHECIDO À TODOS PRESENTES A SUA
FINALIDADE.
3/30
4. Introdução
◦ Conceitos
Desenvolvimento
◦ O que é a norma ISO 27001?
◦ Para que serve?
◦ Em que consiste?
◦ Quais os benefícios para quem adotar?
◦ Quanto tempo demora a preparação da certificação?
◦ Alguns Objetivos de Controle e Controles
Conclusão
Referências
4/30
5. NBR ISO/IEC 27001
1. NBR - Denominação de norma da Associação
Brasileira de Normas Técnicas (ABNT)
2. ISO - Organização Internacional para
Padronização
1. International Organization for Standardization
3. IEC - Comissão Eletrotécnica Internacional
1. International Electrotechnical Commission
5/30
6. Família 27000 – ISO/IEC 27000 series - Descrição e
Vocabulário
Organizações podem desenvolver e implementar uma
estrutura para gerenciar a segurança de seus ativos de
informação
Se preparar para uma avaliação independente do seu
SGSI(Sistema de Gestão de Segurança da Informação) aplicado
à proteção de informações
Normas
1. ISO/IEC 27002:2005 - Código de Prática para Gestão da
Segurança da Informação
2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança
da Informação
3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI
4. ISO/IEC 27014:2013 – Governança de segurança da
informação
6/30
7. Publicado o código
de prática pelo
governo inglês
Publicado pelo
BSI como BS 7799
1992 1995
1º Grande revisão
da BS 7799
1999
Republicado
como padrão
Internacional
ISO/IEC 17799-1
2000
Publicada BS
7799-2
Especificação do
SGSI
2002
Publicação
BS 7799-2=ISO/IEC 27001
E NBR ISO/IEC 17799
2005
ABNT publica a
NBR ISO/IEC
27001:2006
2006
ABNT publica a NBR
ISO/IEC
27002:2007(Correção e
Renomeação 17799-1)
2007 2013
27001:2013 substitui a
2005
7/30
8. Conceitos
◦ Sistema
Um conjunto de elementos inter-relacionados, cada
qual desempenhando uma função, para, de forma
integrada e coordenada, contribuir e garantir que o
objetivo do sistema seja atingido – Teoria Geral dos
Sistemas
8/30
9. Conceitos
◦ Gestão
São os mecanismos que têm de ser implantados para
que tendências instintivas (naturais) originadas no
auto-interesse das pessoas, sejam canalizadas para o
interesse da empresa. - Clemente Nobrega
9/30
10. Conceitos
◦ Segurança da Informação
Preservação da confidencialidade, integridade e
disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade, podem
também estar envolvidas. - ABNT NBR ISO/IEC
17799:2005
10/3
0
11. Outros Conceitos
◦ Risco
A possibilidade de uma determinada ameaça explorar
vulnerabilidades de um ativo ou de um conjunto de ativos,
desta maneira prejudicando a organização -
◦ Ameaça
Causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou organização
◦ Vulnerabilidade
Fraqueza de um ativo ou controle , que pode ser explorada
por uma ameaça
◦ Impacto
Mudança adversa no nível obtido dos objetivos de negócios
◦ Ativo
Qualquer coisa que tenha valor para a organização
11/30
14. É um modelo/padrão e referência
internacional para estabelecer, implementar,
operar, monitorar, analisar criticamente,
manter e melhorar um SGSI.
14/30
15. Para que as organizações adotem um modelo
adequado de estabelecimento, implementação,
operação, monitorização, revisão e gestão de um
Sistema de Gestão de Segurança da Informação.
É independente de fabricantes
◦ Se destina ao estabelecimento
Processos e Procedimento de acordo com realidade de
cada organização
15/30
16. A norma padrão (Standard) ISO 27001 é
composta por duas componentes relativamente
distintas:
1. Onde são definidas as regras e os requisitos de
cumprimento da norma
2. ANEXO A - Um conjunto de objetivos de controle e
controles que as organizações devem adotar –
NORMATIVO
INFORMATIVOS
1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A
COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e
desta Norma
2. ANEXO C – Correspondência às Nomas ISO 9001 E
14001
16/30
19. Reduz o risco de responsabilidade por não
implantar um SGSI
Identifica e corrige pontos fracos
A alta direção assume a responsabilidade pela SI
Permite revisão independente do SGSI
Oferece confiança aos stakeholders
Melhor consciência sobre Segurança
Combina recursos com outros sistemas de
gestão
Mecanismo para medir o sucesso
do Sistema
19/30
20. Varia de acordo com a realidade, maturidade
e dimensão de cada organização, mas
considera-se razoável estabelecer como
tempo médio o período entre seis meses e
um ano.
20/30
21. Política de segurança da informação
◦ Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os
requisitos do negócio e com as leis e
regulamentações relevantes
◦ Objetivos de Controle
Documento da política de segurança da informação
Análise crítica da política de segurança da informação
21/30
23. Aspectos da gestão da continuidade do
negócio, relativos à segurança da informação
◦ Não permitir a interrupção das atividades do
negócio e proteger os processos críticos contra
efeitos de falhas ou desastres significativos, e
assegurar a sua retomada em tempo hábil, se for o
caso.
◦ Objetivos de Controle
Incluindo segurança da informação no processo de
gestão da continuidade de negócio
Desenvolvimento e implementação de planos de
continuidade relativos à segurança da informação
23/30
25. Responsabilidades dos usuários
◦ Prevenir o acesso não autorizado dos usuários e
evitar o comprometimento ou roubo da informação
e dos recursos de processamento da informação
◦ Objetivos de Controle
Uso de senha
Política de mesa limpa e tela limpa
25/30
29. A NORMA NBR ISO/IEC 27001 é um
modelo/padrão de boa prática para se
alcançar níveis de maturidade cada vez
maiores na área de Segurança da Informação
e atingir o objetivo de implementar um SGSI.
29/30