O documento descreve os requisitos para implementar um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001. O SGSI deve ser estabelecido considerando o contexto dos riscos de negócio da organização e incluir atividades como análise de riscos, tratamento de riscos, auditorias internas, análise crítica pela direção e melhoria contínua. A direção deve fornecer recursos e comprometimento para o sucesso do SGSI.
3. 3
NORMA BRASILEIRA ABNT NBR ISO/IEC
27001
NORMA BRASILEIRA ABNT NBR ISO/IEC 27001
Primeira edição 31.03.2006 Válida a partir de 30.04.2006
Tecnologia da informação — Técnicas de segurança —
Sistemas de gestão de segurança da informação —
Requisitos Information technology — Security techniques
— Information security management systems —
Requirements
4. Esta Norma foi preparada para prover um modelo para
estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de Gestão
de Segurança da Informação (SGSI). A adoção de um
SGSI deve ser uma decisão estratégica para uma
organização.
4
0. INTRODUÇÃO
0.1 GERAL
5. • Uma organização precisa identificar e gerenciar muitas
atividades para funcionar efetivamente. Qualquer
atividade que faz uso de recursos e os gerencia para
habilitar a transformação de entradas em saídas pode ser
considerada um processo. Frequentemente a saída de
um processo forma diretamente a entrada do processo
seguinte.
5
0. INTRODUÇÃO
0.2 ABORDAGEM DE PROCESSO
6. • Esta Norma está alinhada às ABNT NBR ISO 9001:2000
e ABNT NBR ISO 14001:2004 para apoiar a
implementação e a operação de forma consistente e
integrada com normas de gestão relacionadas. Um
sistema de gestão adequadamente projetado pode,
assim, satisfazer os requisitos de todas estas normas.
6
0. INTRODUÇÃO
0.3 COMPATIBILIDADE COM OUTROS SISTEMAS DE GESTÃO
9. Esta Norma cobre todos os tipos de organizações (por
exemplo, empreendimentos comerciais, agências
governamentais, organizações sem fins lucrativos). Esta
Norma especifica os requisitos para estabelecer,
implementar, operar, monitorar, analisar criticamente,
manter e melhorar um SGSI documentado dentro do
contexto dos riscos de negócio globais da organização.
1. OBJETIVO
1.1 GERAL
10. Os requisitos definidos nesta Norma são genéricos e é
pretendido que sejam aplicáveis a todas as
organizações, independentemente de tipo, tamanho e
natureza.
1. OBJETIVO
1.1 APLICAÇÃO
12. 2. REFERÊNCIA NORMATIVA
• O documento a seguir referenciado é indispensável para a aplicação
desta Norma. Para referência datada, aplica-se apenas a edição
citada. Para referência não datada, aplica-se a última edição do
documento referenciado (incluindo as emendas).
• ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação –
Técnicas de segurança – Código de prática para a gestão da
segurança da informação.
13. Ativo.
Disponibilidade.
Confidencialidade.
segurança da informação.
evento de segurança da informação.
incidente de segurança da informação.
sistema de gestão da segurança da informação.
3. TERMOS E DEFINIÇÕES
14. Integridade.
risco residual.
aceitação do risco.
análise de riscos.
análise/avaliação de riscos.
avaliação de riscos.
gestão de riscos.
tratamento do risco.
declaração de aplicabilidade.
3. TERMOS E DEFINIÇÕES
15. 4. O SISTEMA DE GESTÃO DE SEGURANÇA
DA INFORMAÇÃO
16. Gerir a segurança da informação não trata apenas de
segurança em TI (i.e. fierwalls, anti-virus, etc.) mas
também sobre gerenciar processos, proteção legal,
recursos humanos, proteção física, etc.
O SGSI não é necessariamente um sistema
informatizado. O sistema será informatizado, caso seja
necessário, conforme a peculiaridade de cada negócio
(ambiente).
4. O SISTEMA DE GESTÃO DE
SEGURANÇA DA INFORMAÇÃO
17. Oferece confiança aos clientes
Melhora a conscientização de segurança na
organização
É também um mecanismo para medir o sucesso do
sistema de gestão
Oportunidade para identificar e corrigir os pontos fracos
4.1 PORQUÊ IMPLEMENTAR?
18. A organização deve estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um
SGSI documentado dentro do contexto das atividades de
negócio globais da organização e os riscos que ela
enfrenta.
A implantação de um SGSI envolve primeiramente a
análise de riscos na infra-estrutura de TI. Esta análise
permite identificar os pontos vulneráveis e as falhas nos
sistemas, que deverão ser corrigidos. Além disso, no
SGSI, são definidos processos para detectar e responder
a incidentes de segurança e procedimentos para
4.2 REQUISITOS GERAIS
19. Para criar o SGSI a organização deverá seguir alguns
pontos:
Estabelecer o SGSI: Escopo, limites, política de
segurança. Também deve identificar, analisar, e avaliar
os riscos, identificar e avaliar as opções para o
tratamento de riscos.
O que proteger?
4.2 REQUISITOS GERAIS
20. Atenção!:
Deve-se obter aprovação da direção dos riscos residuais
propostos, obter autorização da direção para
implementar e operar o SGSI, preparar a declaração de
aplicabilidade.
4.3 ESTABELECENDO E GERENCIANDO
O SGSI
21. Implementar e operar o SGSI: Formular e implementar
um plano de tratamento de riscos, medir e avaliar a
eficácia dos controles de tratamento, Implementar
programas de conscientização e treinamento, Gerenciar
as operações e recursos do SGSI
4.3 ESTABELECENDO E GERENCIANDO
O SGSI
22. Monitorar e analisar criticamente o SGSI: Executar
procedimentos de monitoração e análise crítica, conduzir
auditorias internas do SGSI a intervalos planejados,
realizar uma análise crítica em bases regulares para
assegurar que o escopo permanece adequado e que são
identificadas melhorias nos processos do SGSI, registrar
ações e eventos que possam ter um impacto na eficácia
ou no desempenho do SGSI
4.3 ESTABELECENDO E GERENCIANDO
O SGSI
23. Manter e melhorar o SGSI: Implementar as melhorias
identificadas no SGSI, aplicar as lições aprendidas de
experiências de segurança da informação de outras
organizações e aquelas da própria organização.
4.3 ESTABELECENDO E GERENCIANDO
O SGSI
24. DICA: BSI GROUP
• Disponível em: http://www.bsigroup.com/pt-BR/Normas/
• O BSI é uma empresa de normas de negócios que ajuda as
organizações a fazer da excelência um hábito - em todo o mundo.
• Contém mais de 16 normas e certificações
• Opções de cursos, e orçamentos para obter a certificação
25. STJ E A ISO 27001
• O Superior Tribunal de Justiça do Brasil (STJ) é a primeira entidade
do segmento nas Américas a conquistar a certificação ISO 27001
• O ambiente de certificação foi o Centro de Processamento de Dados
(CPD), unidade que processa, transmite e armazena informações
sigilosas utilizadas no julgamento de processos e jurisprudências.
26. 5. RESPONSABILIDADES DA DIREÇÃO
Esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define as
responsabilidades da Alta Direção, estabelecendo papéis e responsabilidades, e o conteúdo
da política de segurança da informação de alto nível.
27. 5.1 COMPROMETIMENTO DA DIREÇÃO
• A direção deve fornecer evidência do seu comprometimento com o
estabelecimento, implementação, operação, monitoramento, análise
crítica, manutenção e melhoria do SGSI, por meio de alguns
requisitos:
a) O estabelecimento da política do SGSI;
b) A garantia de que são estabelecidos os planos e objetivos do SGSI;
c) O estabelecimento de papéis e responsabilidades pela segurança
da informação;
28. 5.1 COMPROMETIMENTO DA DIREÇÃO
d) A comunicação à organização da importância em atender aos
objetivos de segurança da informação e a conformidade com a política
de segurança de informação, suas responsabilidades perante a lei e a
necessidade para melhoria contínua;
e) Provisão de recursos suficientes;
f) Definição de critérios para aceitação de riscos;
g) Garantia de execução de auditorias internas;
h) Condução de análises críticas do SGSI pela direção.
29. 5.2 GESTÃO DE RECURSOS
5.2.1 – PROVISÃO DE RECURSOS
A organização será a responsável por determinar e prover os recursos
necessários para:
- Estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar um SGSI.
- Assegurar que os procedimentos de segurança da informação apoiam
os requisitos de negócio
30. 5.2 GESTÃO DE RECURSOS
5.2.1 PROVISÃO DE RECURSOS
- Identificar e tratar os requisitos legais e regulamentares e obrigações
contratuais de segurança da informação;
- Manter a segurança da informação adequada pela aplicação correta
de todos os controles implementados;
- Realizar análises críticas, quando necessário, e reagir
adequadamente aos resultados das mesmas.
- Onde requerido, melhorar a eficácia do SGSI.
31. 5.2 GESTÃO DE RECURSOS
5.2.2 TREINAMENTO, CONSCIENTIZAÇÃO E COMPETÊNCIA
• A organização deve assegurar que todo o pessoal com ligação ao
SGSI obtenha treinamento a fim de desempenhar com qualidade as
tarefas requeridas, deve determinar competências necessárias para o
pessoal, deve sempre avaliar as atividades executadas e manter
registros provenientes de aperfeiçoamentos do pessoal.
• A organização deve também assegurar que todo o pessoal envolvido
esteja consciente da relevância e importância das atividades de
segurança da informação e como eles contribuem para o sucesso do
SGSI.
32. 6. AUDITORIAS INTERNAS DO SGSI
• A organização deve conduzir auditorias internas do SGSI a intervalos
planejados
para
- determinar se os objetivos de controle, processos e procedimentos do
SGSI atendem aos requisitos da Norma 27001,
- se atendem aos requisitos de segurança da informação,
- se estão funcionando eficazmente e se são executados
conforme o esperado.
33. 6. AUDITORIAS INTERNAS DO SGSI
• Um programa de auditoria deve ser planejado considerando a
situação e a importância dos processos e áreas a serem auditadas,
assim como resultados de auditorias anteriores. Os auditores devem
manter a imparcialidade do processo de auditoria, portanto não
devem auditar seu próprio trabalho. Ele deve assegurar que as ações
estão sendo executadas, sem demora indevida, para eliminar as não-
conformidades detectadas e suas causas. As atividades de
acompanhamento devem incluir a verificação das ações executadas
e o relato dos resultados obtidos.
35. 7. ANÁLISE CRÍTICA DO SGSI PELA
DIREÇÃO
7.1 GERAL
• O QUE É?
• Contínua pertinência, adequação e eficácia;
• Uso da política de segurança da informação;
• Objetivos da politica de segurança da informação;
• Avaliação de oportunidades;
• Necessidades de mudança do SGSI;
• Documentação.
• COMO FAZER?
• Entradas para análise crítica;
• Saídas da análise crítica
36. 7. ANÁLISE CRÍTICA DO SGSI PELA
DIREÇÃO
7.2 ENTRADAS PARA A ANÁLISE CRÍTICA
1. resultados de auditorias do SGSI e análises críticas;
2. realimentação das partes interessadas;
3. técnicas, produtos ou procedimentos que podem ser usados na organização para
melhorar o desempenho e a eficácia do SGSI ;
4. situação das ações preventivas e corretivas;
5. vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações
de risco anteriores;
6. resultados da eficácia das medições ;
7. acompanhamento das ações oriundas de análises críticas anteriores pela direção;
8. quaisquer mudanças que possam afetar o SGSI; e
9. recomendações para melhoria.
37. 7. ANÁLISE CRÍTICA DO SGSI PELA
DIREÇÃO
7.3 SAÍDA DA ANÁLISE CRÍTICA
1. Melhoria da eficácia do SGSI.
2. Atualização da análise/avaliação de
riscos e do plano de tratamento de
riscos.
3. Modificação de procedimentos e
controles que afetem a segurança
da informação, quando necessário,
para responder a eventos internos
ou externos que possam impactar no
SGSI, incluindo mudanças de:
Quadro ao lado.
4. Necessidade de recursos.
5. Melhoria de como a eficácia dos
a. requisitos de negócio;
b. requisitos de segurança da informação;
c. processos de negócio que afetem os
requisitos de negócio existentes;
d. requisitos legais ou regulamentares;
e. obrigações contratuais; e
f. níveis de riscos e/ou critérios de aceitação
de riscos.
39. 8. MELHORIAS DO SGSI
8.1 MELHORIA CONTÍNUA
• COMO FAZE-LAS?
• Melhoria contínua:
• Política de segurança da informação;
• Objetivos de segurança da informação;
• Resultados de auditorias;
• Análise de eventos monitorados;
• Ações corretivas;
• Ações preventivas; e
• Analise crítica pela direção.
40. 8. MELHORIAS DO SGSI
8.2 AÇÃO CORRETIVA
• Identificar não-conformidades;
• Determinar as causas de não-conformidades;
• Avaliar a necessidade de ações para assegurar que aquelas não-
conformidades não ocorram novamente;
• Determinar e implementar as ações corretivas necessárias;
• Registrar os resultados das ações executadas; e
• Analisar criticamente as ações corretivas executadas.
41. 8. MELHORIAS DO SGSI
8.3 AÇÃO PREVENTIVA
• Identificar não-conformidades potenciais e suas causas;
• Avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;
• Determinar e implementar as ações preventivas necessárias;
• Registrar os resultados de ações executadas (ver 4.3.3); e
Analisar criticamente as ações preventivas executadas.
NOTA
Ações para prevenir não-conformidades frequentemente têm melhor custo-benefício
que as ações corretivas.