O documento discute as normas ISO/IEC 27000 relacionadas à gestão da segurança da informação. Apresenta as principais normas da série ISO/IEC 27000, como a ISO/IEC 27001 que define requisitos para um Sistema de Gestão da Segurança da Informação e a ISO/IEC 27002 que estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a segurança da informação. Discutem também outras normas como a ISO/IEC 27003 sobre implementação, ISO/IEC 27004 sobre monitoramento e
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
Normas de Segurança da Informação - Família ISO/IEC 27000
1.
2. AULA 14
Segurança da Informação
Professor: Kleber Silva
Email: kleber.silva@pro.fecaf.com.br
Curso: Gestão de Tecnologia da Informação
Turma: 3o. e 4o. semestre - Noturno
Data: 12 de novembro de 2019
3. 3 - Gestão da Segurança da
Informação
Exploração
3.1 – Normas de Segurança ISO/IEC 27000
3.2 - Política de Segurança da Informação
3.3 – LGPD: contexto da privacidade dos dados
3.4 – LGPD: áreas envolvidas e metodologias
4. 3.1 – Normas de Segurança ISO/IEC
Em 1995, as organizações internacionais ISO (The International
Organization for Standardization) e IEC (International Electrotechnical
Commission) deram origem a um grupo de normas que consolidam as
diretrizes relacionadas ao escopo de Segurança da Informação, sendo
representada pela série 27000: https://www.iso27001security.com/
5. ISO/IEC 27000 : visão geral/introdução à família ISO 27000
✓ Atualizações anteriores: 2009, 2012, 2014, 2016
✓ A norma ISO/IEC 27000:2018 fornece a visão geral dos
sistemas de gerenciamento de segurança da
informação e os termos e definições comumente
usados na família de normas ISO/IEC 27001
✓ Aplicável para multinacionais até as pequenas e médias
empresas, a nova versão de fevereiro de 2018 é
igualmente valiosa para agências governamentais ou
organizações sem fins lucrativos.
3.1 – Normas de Segurança ISO/IEC
6. ISO/IEC 27001:2013: define requisitos para um Sistema de
Gestão da Segurança da Informação (SGSI )
✓ Histórico: BS (British Standart) 7799, ISO/IEC 27001:2005
✓ Gestão global da organização, com base em uma abordagem
de risco do negócio, para estabelecer, implementar, operar,
monitorar, revisar, manter e melhorar a S.I;
✓ O SGSI inclui estrutura organizacional, políticas, atividades
de planejamento, responsabilidades, práticas,
procedimentos, processos e recursos;
✓ Base para obter a certificação empresarial em GSI:
3.1 – Normas de Segurança ISO/IEC
7. ISO/IEC 27002:2013: melhores práticas de controle
✓ Histórico: 1ª edição de 2005. Segunda edição atual: 2013
✓ É recomendável que a norma seja utilizada em conjunto com
a ISO 27001, mas pode ser também consultada de forma
independente com fins de adoção das boas práticas.
✓ Estabelece diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a GSI em uma organização.
✓ Principais seções: PSI, Gestão de Ativos, RH, Física,
Comunicações, Controle de Acesso, Gestão da continuidade
do negócio, Gestão da continuidade do negócio, Compliance
3.1 – Normas de Segurança ISO/IEC
8. 3.1 – Normas de Segurança ISO/IEC
Estrutu-
ra da
ISO/IEC
27002:
2013
9. “HINTZBERGEN (2018) afirma que “A
ISO/IEC 27002 : 2013 estabelece
que as políticas de segurança da
informação devem ser revisadas em
intervalos planejados ou se
ocorrerem mudanças significativas, a
fim de assegurar sua contínua
conformidade.”
10. ISO/IEC 27003:2017: guia de implementação
✓ Histórico: 1ª edição de 2010;
➢ Segunda edição atual: 2017;
✓ Dispõe sobre diretrizes para implantação de um SGSI;
✓ Uma vez que a 27001 apresenta uma linguagem mais formal
e teórica, a 27003 a complementa com direcionamentos
práticos de implementação e explicações;
➢ Foi escrita em cima da mesma estrutura de 27001,
expandindo cada tópico e abordando as implicações
práticas de cada item.
3.1 – Normas de Segurança ISO/IEC
11. ISO/IEC 27004:2016: monitoração, medida, análise e
avaliação
✓ Histórico: 1ª edição de 2009, segunda edição atual: 2016;
✓ Define métricas de medição para a gestão da S.I., conhecidas
como métricas de segurança;
✓ Auxilia as empresas a avaliar a eficácia e eficiência das outras
normas e melhorar a gestão sistematicamente;
✓ Pode ser uma importante aliada no momento de definir as
metas de níveis de serviço, expandindo o item 9.1 da 27001.
3.1 – Normas de Segurança ISO/IEC
12. ISO/IEC 27005:2018: Gestão de Riscos da S.I.
✓ Histórico: 1ª ed. 2008, 2ª ed. 2011, 3ª. edição atual: 2018;
✓ Grande parte do escopo da ISO 27005 pode ser interpretada
como a sessão 4 da norma ISO 27001: Riscos;
✓ A 27005 apresenta vários conceitos importantes, tais como:
➢ Risco: é a possibilidade de uma determinada ameaça
explorar vulnerabilidades de um ativo ou de um conjunto
de ativos, desta maneira prejudicando a organização;
➢ Medida de risco: é a combinação da probabilidade de um
evento indesejável e a sua consequência;
3.1 – Normas Segurança ISO/IEC
13. 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27005:2018: Gestão de Riscos da S.I.
14. ISO/IEC 27006:2015: Auditoria em SGSI
✓ Histórico: 1ª ed. 2007
➢2ª ed. 2011 (baseada na ISO 17021)
➢3ª. edição atual: 2015 (baseada na ISO 19011)
✓ Define requisitos para organizações que prestam serviços de
auditoria e certificação de sistemas de gestão de segurança
da informação, com base na ISO 27001, 17021 e 19011
✓ ISO 27007:2017 e 27008:2019 -> complementam a 27006
especificando requisitos e procedimentos para um auditor
certificar determinado sistema de segurança,;
3.1 – Normas de Segurança ISO/IEC
15. ISO/IEC 27009:2016: Indústrias específicas
✓ Requisitos adicionais para implantação da 27001 em setores
(campos, aplicações e mercados) específicos;
ISO/IEC 27010:2015: Comunicação intra-setores e intra-
organizacionais (segunda edição 2015, a 1ª foi em 2012)
✓ Guia para a comunicação em GSI no escopo da organização e
fora dela (sobretudo para entre empresas do mesmo setor).
✓ O objetivo é prover auxílio para quem deseja evoluir com as
práticas através de contatos e network entre partes de um
mesmo segmento de mercado que buscam aprimorar a GSI;
3.1 – Normas de Segurança ISO/IEC
16. ISO/IEC 27011:2016: Telecomunicações
✓ Desenvolvida em conjunto com o ITU-T (Setor de
Normatização das Telecomunicações), replicada para a
norma ITU-T X.1051;
ISO/IEC 27012: Governo
✓ Foi proposta para gestão da segurança da informação em
organizações da administração pública, mas foi cancelada;
ISO/IEC 27013:2015: Gestão de Serviços em TI
✓ Implementação integrada da 27001 com a ISO/IEC 20000-
1:2011 (ITIL), coordenando atividades multidisciplinares;
3.1 – Normas de Segurança ISO/IEC
17. ISO/IEC 27014:2013: Governança de S.I.
✓ Especifica como avaliar, dirigir, controlar e comunicar todas
as práticas internas da empresa relacionadas a segurança da
informação, de forma que sejam compreendidas e estejam
alinhadas com necessidades das áreas de negócio;
✓ Também desenvolvida em conjunto com o ITU-T e replicada
para a norma ITU-T X.1054;
ISO/IEC 27015: Setor financeiro
✓ Foi proposta para aborda a gestão da segurança da
informação para serviços financeiros, mas foi cancelada;
3.1 – Normas de Segurança ISO/IEC
18. ISO/IEC 27016:2014: Setor Econômico
ISO/IEC 27017:2015: Computação em Nuvem
✓ Implementação de controles de segurança de informações
específicas da nuvem que complementam a orientação das
normas ISO/IEC 27002 e ISO/IEC 27001.
✓ Disponibiliza instruções de implementação de controles
adicionais de segurança da informação específicos para
provedores de serviços de nuvem;
✓ Provedores buscam estar conformes, ex.: AWS:
https://aws.amazon.com/pt/compliance/iso-27017-faqs/
3.1 – Normas de Segurança ISO/IEC
19. ISO/IEC 27018:2019: Informações de Identificação Pessoal
(PII) para computação em nuvem
✓ 1ª edição de 2014. 2ª. edição atual de 2019;
✓ Complementar à ISO 27017;
✓ Baseada na ISO 27002, ISO 17788 “Computação em nuvem
– Visão Geral e Vocabulário” e ISO/IEC 29100 “framework de
privacidade”;
✓ Suporte global de padrões internacionais como CSA (Cloud
Security Alliance). Base para a GDPR e outras leis de proteção
de dados pessoais;
3.1 – Normas de Segurança ISO/IEC
20. ISO/IEC 27019:2017: Indústria de Energia
✓ Segurança para automação: PLC (Programmable Logic
Controllers), IIOT (Industrial Internet of Things), ICS
(Industrial Control Systems) and SCADA (Supervisory
Control And Data Acquisition)
ISO/IEC 27031:2011: TIC
✓ Guia de princípios/conceitos por trás do papel da
segurança da informação para TIC (Tecnologia da
Informação e Comunicações) para garantir a
continuidade dos negócios.
3.1 – Normas de Segurança ISO/IEC
21. ISO/IEC 27032:2012: Cybersegurança
✓ Está em sua definição a preservação da
confidencialidade, integridade e disponibilidade da
informação no "Cyberspace": crimes na internet, guerras
cibernéticas e nos ambientes da internet
ISO/IEC 27033: Segurança de Redes
✓ Derivada da ISO/IEC 18028, segmentada em 6 partes:
introdução e conceitos (27033-1:2015), planejamento,
técnicas de projetos, gateways, VPNs e wireless
3.1 – Normas de Segurança ISO/IEC
22. ISO/IEC 27034: Segurança em Aplicações
✓ Alinhada com a ISO 31000, segmentada em 7 partes:
introdução e conceitos (27034-1:2011), normativas,
guia para o processo de gestão, validação de requisitos,
protocolos e estrutura de dados de controle, estudo de
casos e framework de seguro preditivo
ISO/IEC 27037:2016: Análise Forense
✓ Orientações para a identificação, coleta, aquisição e
preservação de evidências forenses digitais.
3.1 – Normas de Segurança ISO/IEC
23. ISO/IEC 27039:2015: IDS (Intrusion Detection Systems)
✓ Um guia para seleção, contratação, desenho, operação e
administração de sistemas IDS.
ISO/IEC 27040:2015: Storage
✓ Aspectos de segurança da informação para sistemas e
Infraestrutura de storage: IP SAN, NAS e CAS
ISO/IEC 27102:2019: Seguro cibernético
✓ Escopo de seguros profissionais, custo/benefício,
vantagens e desvantagens e oportunidades.
3.1 – Normas de Segurança ISO/IEC
24. ISO/IEC 27701:2019: Privacidade
✓ Especifica os requisitos e fornece a orientação para
estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gerenciamento de
Informações sobre Privacidade
✓ Inclui mapeamento para: o quadro e os princípios de
privacidade definidos na norma ISO/IEC 29100; ISO/IEC
27018; ISO/IEC 29151; e o Regulamento Geral de
Proteção de Dados da UE (GDPR)
3.1 – Normas de Segurança ISO/IEC
25. • HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com
base na ISO 27001 e na ISO 27002. São Paulo: Brasport: 2018.
• Portal GSTI: https://www.portalgsti.com.br/
• ISO27K Information Security: https://www.iso27001security.com/
BIBLIOGRAFIA
26. ATIVIDADE 10
Em sala
ISO 27001:2013 e 27002:2013
a) Em grupos de até 5 pessoas
b) Responder em uma folha e entregar ao professor até o final da aula.
1. Verificar as normas 27001 e 27002 publicadas no Classroom buscando
por tópicos relevantes no entendimento do grupo. Preparar então
algumas diretrizes/procedimentos de segurança da informação para sua
empresa referenciando o capítulo escolhido da norma.
2. Mínimo: 1 página.