5. Introdução
Objetivos das Normas
É aquilo que se estabelece como medida para a realização
de uma atividade.
Uma norma tem como propósito definir regras e
instrumentos de controle para assegurar a conformidade de
um processo, produto ou serviço.
6. Introdução
Os objetivos das normas segundo a ABNT são:
Comunicação: proporcionar meios mais eficientes na troca
de informação entre o fabricante e o cliente, melhorando a
confiabilidade das relações comerciais e de serviços;
Segurança: proteger a vida humana e a saúde;
7. Introdução
Os objetivos das normas segundo a ABNT são:
Proteção do consumidor: prover a sociedade de
mecanismos eficazes para aferir qualidade de produtos;
Eliminação de barreiras técnicas e comerciais: evitar a
existência de regulamentos conflitantes sobre produtos e
serviços em diferentes países, facilitando assim, o
intercâmbio comercial.
8. Introdução
Como tudo começou
Fundação do BSI (1901)
Presente em mais de 86 países
Fórum normalizador do Reino Unido.
Principal membro fundador do ISO.
9. Introdução
As normas BS 7799
Códigos de Boas Práticas para o
Gerenciamento da Segurança da
Informação;
NORMA ANO
1995BS 7799-1
10. Introdução
As normas BS 7799
Sistema de Gerenciamento da
Segurança da Informação;
NORMA ANO
1999BS 7799-2
12. Introdução
A norma ISO/IEC 17799
A norma ISO/IEC 17799 é uma
cópia fiel do padrão britânico BS
7799-1. Em 2007 foi renomeada
para ISO/IEC 27002
NORMA ANO
2000ISO/IEC 17799
14. Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Define os requisitos para um sistemas de gestão de
segurança da informação.
15. Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Boas práticas para a gestão de segurança da
informação.
16. Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Guia para a implantação de um sistema de gestão
de segurança da informação.
17. Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Define métricas e meios de medição para avaliar a
eficácia de um sistema de gestão de segurança da
informação.
18. Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Fornece as diretrizes para o processo de gestão de
riscos de segurança da informação.
19. Série ISO/IEC 27K
Estrutura da norma 27001
0. Introdução
1. Objetivo
2. Referência Normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação)
5. Responsabilidades da direção
(Comprometimento da direção / Gestão de recursos)
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
(Geral / Entradas para análise crítica / Saídas da análise crítica)
8. Melhorias no SGSI
(Melhoria contínua / Ação corretiva / Ação preventiva)
20. Sistema de Gestão de Segurança (SGSI)
Um SGSI tem o objetivo de:
Estabelecer
Implementar
Operar
Monitorar
Analisar
Manter
Melhorar
Informação
Trata-se de uma abordagem à
segurança da informação, numa
perspectiva organizacional.
Esse sistema denomina-se o
ciclo PDCA
E
I
O
M
A
M
M
21. Sistema de Gestão de Segurança (SGSI)
Ciclo PDCA
ESTABELECER IMPLEMENTAR
E OPERAR
MONITORAR
E ANÁLISAR
MANTER E
MELHORAR
22. Sistema de Gestão de Segurança (SGSI)
Benefícios da ISO/IEC 27001:2005
A norma é projetada para assegurar que você selecione os
controles de segurança adequados e proporcionais que o
ajudem a proteger os ativos da informação para gerar
confiança nas partes interessadas, incluindo seus clientes.
A ISO/IEC 27001 define os requisitos para um Sistema de
segurança da informação.
23. Sistema de Gestão de Segurança (SGSI)
Benefícios da ISO/IEC 27001:2005
Auxilia as organizações ao prover uma abordagem
estruturada e proativa para a segurança da informação.
É um investimento para o futuro da companhia.
Um sistema de gestão “baseado em riscos” para ajudar
organizações planejarem, implementarem e manterem um
sistema de gestão de segurança da informação (SGSI).
24. Sistema de Gestão de Segurança (SGSI)
Termos e definições da norma ISO/IEC 27001.
Confidencialidade:
Propriedade de que a
informação não esteja
disponível ou revelada a
indivíduos, entidades ou
processos não autorizados.
Ativo:
qualquer coisa que tenha
valor para a organização
Disponibilidade: propriedade
de estar acessível e utilizável
sob demanda por uma
entidade autorizada.
25. Sistema de Gestão de Segurança (SGSI)
Termos e definições da norma ISO/IEC 27001.
Evento de segurança da informação:
Uma ocorrência identificada de um estado de
sistema, serviço ou rede, indicando uma possível violação
da política de segurança da informação ou falha de
controles, ou uma situação previamente
desconhecida, que possa ser relevante para a segurança
Incidente de segurança da Informação:
Um simples ou uma série de eventos de segurança da
informação indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as operações do
negócio e ameaçar a segurança da informação.
26. ABNT NBR ISO/IEC 17799:2005
Objetivos.
Estabelecer códigos de
boas práticas para a
gestão de segurança da
informação.
Dar instrumentos para a
implantação de segurança
da informação de acordo
com as características de
uma empresa.
27. ABNT NBR ISO/IEC 17799:2005
Objetivos.
A ISO/IEC 17799 tem como
objetivo a
confidencialidade, integridade
e disponibilidade (CID) das
informações.
28. ABNT NBR ISO/IEC 17799:2005
Benefícios proporcionados
Vantagem competitiva;
Melhoria no desempenho do negócio e gerenciamento de riscos;
Atrair novos investidores, melhoria da reputação da marca e
remoção de barreiras comerciais;
Redução de Gastos;
Operações com menos burocracias e redução de perda;
Evolução da comunicação interna;
Melhoria da satisfação do cliente.
29. ABNT NBR ISO/IEC 17799:2005
Seções de controle da norma:
1. Política de Segurança da Informação;
2. Organizando a Segurança da Informação
3. Gestão de Ativos
4. Segurança em Recursos Humanos;
5. Segurança Física e do Ambiente;
6. Gestão de Operações e Comunicações;
7. Controle de Acesso;
8. Aquisição, Desenvolvimento e Manutenção de Sistema de Informação;
9. Gestão de Incidentes de Segurança da Informação
10. Gestão da Continuidade do Negócio;
11. Conformidade.