ISO 27001 -6

594 visualizações

Publicada em

MOD 6 SGSI

Publicada em: Educação
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
594
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
40
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

ISO 27001 -6

  1. 1. Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning Sistema de Gestão de Segurança da Informação
  2. 2. Módulo 6 Interpretação das cláusulas 4.2 a 4.3.3 da NBR ISO/IEC 27001:2005
  3. 3. Estrutura da Norma NBR ISO/IEC 27001:2006 Sistema de Gestão da SI Melhoria Contínua Responsabilidade da direção Auditorias internas Melhoria do SGSI Análise crítica do SGSI pela direção Entradas Saídas 4 6 7 8 5 REQUISITOS SEGURANÇADA INFORMAÇÃO
  4. 4. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: a) Executar procedimentos de monitoração, análise crítica e outros controles para: Prontamente detectar erros nos resultados de processamentos Prontamente identificar tentativas e violações de segurança bem sucedidas, e incidentes de segurança da informação Permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado Ajudar a detectar eventos de segurança da informação e assim prevenir incidentes pelo uso de indicadores Determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.
  5. 5. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI Exemplo de análise de dados utilizando o diagrama de Pareto: Durante a realização do produto ou do serviço, podemos documentar as não- conformidades identificadas (por tipo de NC, por exemplo) e construir uma tabela para determinado período. Com estas informações poderemos construir o diagrama de Pareto como você poderá observar no próximo slide.
  6. 6. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI O diagrama de Pareto é uma forma visual para percebermos melhor o impacto de cada problema no processo, e decidir qual não- conformidade vamos tratar, isto é, pesquisar as possíveis causas desta não- conformidade e definir ações para eliminá-las, evitando sua repetição. Exemplo de análise de dados utilizando o diagrama de Pareto:
  7. 7. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: c) Medir a eficácia dos controles para verificar se os requisitos de SI estão sendo atingidos. d) Revisar as análises/avaliações de risco a intervalos planejados e analisar criticamente os riscos residuais e os níveis de risco aceitáveis identificados, levando em consideração mudanças relativas a: 1) Organização 2) Tecnologias 3) Objetivos e processos do negócio 4) Ameaças identificadas 5) Eficácia dos controles implementados 6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das obrigações contratuais e mudanças na conjuntura social Sempre que uma mudança ocorre, poderemos ter alteração dos ativos, das ameaças e das vulnerabilidades, e portanto dos riscos.
  8. 8. 4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI A organização deve: e) Conduzir auditorias internas a intervalos planejados. Existem auditorias de primeira parte (internas), de segunda parte (realizadas pelos clientes na organização ou pela organização em seus fornecedores) e de terceira parte (realizadas por organismos independentes como por exemplo uma certificadora). f) Realizar análises críticas do SGSI pela direção em períodos regulares, para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI. Estas análises críticas são reuniões com a direção onde diversos temas são discutidos sobre o desempenho do sistema de gestão. A ISO 27001 especifica os temas mínimos a serem discutidos, e diz que como saída deve haver um plano de ação definido. g) Atualizar planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica. h) Registrar ações e eventos que poderiam ter impacto no desempenho ou na eficácia do SGSI.
  9. 9. 4.2 – Estabelecendo e gerenciando o SGSI/ 4.2.4 – Manter e melhorar o SGSI A organização deve regularmente: a) Implementar as melhorias identificadas para o SGSI. b) Realizar ações corretivas e preventivas apropriadas, e aplicar lições aprendidas com a experiência da própria organização ou de outras. c) Comunicar as ações e melhorias para as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder. d) Garantir que as melhorias atingem os objetivos determinados.
  10. 10. Exercício Indique se é verdadeiro ou falso: 1) ( ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório. 2) ( ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI. 3) ( ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente. 4) ( ) Indicadores não são uma boa maneira de prevenir incidentes de segurança. 5) ( ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica. 6) ( ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento. 7) ( ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização. 8) ( ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H. 9) ( ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados.
  11. 11. Respostas Indique se é verdadeiro ou falso: 1) ( V ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório. 2) ( F ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI. 3) ( F ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente. (devem ser realizadas a intervalos planejados) 4) ( F ) Indicadores não são uma boa maneira de prevenir incidentes de segurança. (indicadores mostram as tendências, portanto orientam aumento ou redução de ocorrências, o que permite ações para prevenir incidentes) 5) ( F ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica. (devem ser atualizados sempre que necessário)
  12. 12. Respostas 6) ( F ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento. (a organização deve prontamente identificar tentativas de violação e incidentes) 7) ( F ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização. (deve incluir obrigatoriamente as pessoas que têm responsabilidades atribuídas dentro do SGSI) 8) ( V ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H. 9) ( V ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados. (mas na declaração de aplicabilidade deve ser justificado quando um controle do Anexo A não for utilizado)
  13. 13. Estrutura da Norma NBR ISO/IEC 27001:2006 Sistema de Gestão da SI Melhoria Contínua Responsabilidade da direção Auditorias internas Melhoria do SGSI Análise crítica do SGSI pela direção Entradas Saídas 4 6 7 8 5 REQUISITOS SEGURANÇADA INFORMAÇÃO
  14. 14. 4.3 – Requisitos de documentação 4.3.1 – Geral A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis. As reuniões de análise crítica do sistema devem ser documentadas e o monitoramento deve ser registrado. É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI. Quando elaboramos a matriz de riscos já podemos indicar os controles e procedimentos relacionados. Isto facilita a demonstração dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos.
  15. 15. Extensão da documentação do SGSI Abrangência e detalhes da documentação depende de: Tamanho e tipo da empresa Complexidade dos serviços, produtos e processos Requisitos de clientes e regulamentaresCódigos e normas da indústria Educação, experiência e treinamento Estabilidade da força de trabalho Problemas de segurança no passado
  16. 16. 4.3 – Requisitos de documentação 4.3.1 – Geral A documentação deve incluir: a) Declarações documentadas das políticas e dos objetivos do SGSI b) O escopo do SGSI c) Procedimentos e controles que apóiam o SGSI d) Uma descrição da metodologia de análise/avaliação de riscos f) O relatório de análise/avaliação de riscos g) O plano de tratamento de riscos h) Procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança da informação, e para descrever como medir a eficácia dos controles i) Registros requeridos pela norma j) A declaração de aplicabilidade A documentação deve variar devido ao tamanho da organização, tipo de atividades, escopo e complexidade dos requisitos de segurança e do sistema gerenciado. Quando a norma cita apenas a palavra “procedimento” significa que o procedimento não precisa ser documentado. Se a norma disser “procedimento documentado” significa que o procedimento realmente precisa ser documentado.
  17. 17. 4.3 – Requisitos de documentação 4.3.2 – Controle de documentos Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para: Aprovar documentos para adequação antes de sua emissão Analisar criticamente e atualizar,quando necessário, e reaprovar documentos Assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso Assegurar que os documentos permaneçam legíveis e prontamente identificáveis Assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação Assegurar que documentos de origem externa sejam identificados Assegurar que a distribuição de documentos seja controlada Prevenir o uso não intencional de documentos obsoletos Aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito
  18. 18. Exercício Indique se é verdadeiro ou falso: 1 - ( ) Um documento obsoleto não pode ser mantido disponível no processo. 2 - ( ) Normas não precisam ser controladas. 3 - ( ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível. 4 - ( ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação. 5 - ( ) Instruções de trabalho da produção precisam ficar na produção. 6 - ( ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado.
  19. 19. Resposta 1 - ( F ) Um documento obsoleto não pode ser mantido disponível no processo. (é necessário que a documentação esteja claramente identificada) 2 - ( F ) Normas não precisam ser controladas. (normas são documentos externos, e quando uma nova versão é emitida a versão anterior deve ser recolhida) 3 - ( V ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível. (10 segundos é muito rápido, um documento não está disponível quando o profissional da área não consegue localizá-lo) 4 - ( F ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação. (documentos devem ser elaborados, revisados e aprovados, mas pode ser um único profissional a realizar todas estas atividades) 5 - ( V ) Instruções de trabalho da produção precisam ficar na produção. (documentos devem ficar disponíveis nos locais de uso) 6 - ( F ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado. (a norma exige um procedimento documentado)
  20. 20. 4.3 – Requisitos de documentação 4.3.3 – Controle de registros Registros devem ser estabelecidos e mantidos para prover evidência da conformidade aos requisitos e da operação eficaz do SGSI. Devem ser considerados quaisquer registros referentes a requisitos legais ou obrigações contratuais. Registros devem ser legíveis e prontamente identificáveis e recuperáveis. Controles devem ser definidos, documentados e implementados para: identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição. Registros devem manter informações sobre o desempenho dos processos e de ocorrências significativas relacionadas ao SGSI. Exemplo de registro: livros de visitantes, relatórios de auditoria, formulários de autorização de acesso, etc.
  21. 21. Documentação do SGSI Procedimentos Instruções de trabalho, listas, formulários Registros Manual de segurança Nível 1 Nível 2 Nível 3 Nível 4 Fornece evidência objetiva da conformidade às exigências do SGSI, cláusula 4.3.3 Descreve como as tarefas e atividades específicas são feitas Descreve processos, quem, o que, quando e onde, cláusula 4.1 Política, escopo, avaliação de risco, declaração de aplicabilidade
  22. 22. Exercício Para um registro de acesso determine: Como ele pode ser identificado Onde ele pode ser armazenado Como se garante que está protegido Como pode ser recuperado, por exemplo se for necessário apresentá-lo ao cliente Por quanto tempo fica retido (guardado) Como é descartado
  23. 23. Resposta Para um registro de acesso podemos usar os seguintes controles: Identificação: normalmente é um livro numerado com as páginas numeradas Armazenamento: na gaveta da recepção Proteção: a gaveta da recepção Recuperação: basta solicitar ao recepcionista Tempo de retenção: um ano após o término do livro Descarte: jogado no lixo comum
  24. 24. Interpretação das cláusulas 4.2 a 4.3.3 da NBR ISO/IEC 27001:2005 Fim do módulo 6

×