SlideShare uma empresa Scribd logo

Normas de Segurança da Informação - Família ISO/IEC 27000

Kleber Silva
Kleber Silva

O documento discute as normas ISO/IEC 27000 relacionadas à gestão da segurança da informação. Apresenta as principais normas da série ISO/IEC 27000, como a ISO/IEC 27001 que define requisitos para um Sistema de Gestão da Segurança da Informação e a ISO/IEC 27002 que estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a segurança da informação. Discutem também outras normas como a ISO/IEC 27003 sobre implementação, ISO/IEC 27004 sobre monitoramento e

Tecnologia
1 de 27
Baixar para ler offline
AULA 14 Segurança da Informação Professor: Kleber Silva Email: kleber.silva@pro.fecaf.com.br Curso: Gestão de Tecnologia da Informação Turma: 3o. e 4o. semestre - Noturno Data: 12 de novembro de 2019
3 - Gestão da Segurança da Informação Exploração 3.1 – Normas de Segurança ISO/IEC 27000 3.2 - Política de Segurança da Informação 3.3 – LGPD: contexto da privacidade dos dados 3.4 – LGPD: áreas envolvidas e metodologias
3.1 – Normas de Segurança ISO/IEC Em 1995, as organizações internacionais ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) deram origem a um grupo de normas que consolidam as diretrizes relacionadas ao escopo de Segurança da Informação, sendo representada pela série 27000: https://www.iso27001security.com/
ISO/IEC 27000 : visão geral/introdução à família ISO 27000 ✓ Atualizações anteriores: 2009, 2012, 2014, 2016 ✓ A norma ISO/IEC 27000:2018 fornece a visão geral dos sistemas de gerenciamento de segurança da informação e os termos e definições comumente usados na família de normas ISO/IEC 27001 ✓ Aplicável para multinacionais até as pequenas e médias empresas, a nova versão de fevereiro de 2018 é igualmente valiosa para agências governamentais ou organizações sem fins lucrativos. 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27001:2013: define requisitos para um Sistema de Gestão da Segurança da Informação (SGSI ) ✓ Histórico: BS (British Standart) 7799, ISO/IEC 27001:2005 ✓ Gestão global da organização, com base em uma abordagem de risco do negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a S.I; ✓ O SGSI inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos; ✓ Base para obter a certificação empresarial em GSI: 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27002:2013: melhores práticas de controle ✓ Histórico: 1ª edição de 2005. Segunda edição atual: 2013 ✓ É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode ser também consultada de forma independente com fins de adoção das boas práticas. ✓ Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a GSI em uma organização. ✓ Principais seções: PSI, Gestão de Ativos, RH, Física, Comunicações, Controle de Acesso, Gestão da continuidade do negócio, Gestão da continuidade do negócio, Compliance 3.1 – Normas de Segurança ISO/IEC
3.1 – Normas de Segurança ISO/IEC Estrutu- ra da ISO/IEC 27002: 2013
“HINTZBERGEN (2018) afirma que “A ISO/IEC 27002 : 2013 estabelece que as políticas de segurança da informação devem ser revisadas em intervalos planejados ou se ocorrerem mudanças significativas, a fim de assegurar sua contínua conformidade.”
ISO/IEC 27003:2017: guia de implementação ✓ Histórico: 1ª edição de 2010; ➢ Segunda edição atual: 2017; ✓ Dispõe sobre diretrizes para implantação de um SGSI; ✓ Uma vez que a 27001 apresenta uma linguagem mais formal e teórica, a 27003 a complementa com direcionamentos práticos de implementação e explicações; ➢ Foi escrita em cima da mesma estrutura de 27001, expandindo cada tópico e abordando as implicações práticas de cada item. 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27004:2016: monitoração, medida, análise e avaliação ✓ Histórico: 1ª edição de 2009, segunda edição atual: 2016; ✓ Define métricas de medição para a gestão da S.I., conhecidas como métricas de segurança; ✓ Auxilia as empresas a avaliar a eficácia e eficiência das outras normas e melhorar a gestão sistematicamente; ✓ Pode ser uma importante aliada no momento de definir as metas de níveis de serviço, expandindo o item 9.1 da 27001. 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27005:2018: Gestão de Riscos da S.I. ✓ Histórico: 1ª ed. 2008, 2ª ed. 2011, 3ª. edição atual: 2018; ✓ Grande parte do escopo da ISO 27005 pode ser interpretada como a sessão 4 da norma ISO 27001: Riscos; ✓ A 27005 apresenta vários conceitos importantes, tais como: ➢ Risco: é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização; ➢ Medida de risco: é a combinação da probabilidade de um evento indesejável e a sua consequência; 3.1 – Normas Segurança ISO/IEC
3.1 – Normas de Segurança ISO/IEC ISO/IEC 27005:2018: Gestão de Riscos da S.I.
ISO/IEC 27006:2015: Auditoria em SGSI ✓ Histórico: 1ª ed. 2007 ➢2ª ed. 2011 (baseada na ISO 17021) ➢3ª. edição atual: 2015 (baseada na ISO 19011) ✓ Define requisitos para organizações que prestam serviços de auditoria e certificação de sistemas de gestão de segurança da informação, com base na ISO 27001, 17021 e 19011 ✓ ISO 27007:2017 e 27008:2019 -> complementam a 27006 especificando requisitos e procedimentos para um auditor certificar determinado sistema de segurança,; 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27009:2016: Indústrias específicas ✓ Requisitos adicionais para implantação da 27001 em setores (campos, aplicações e mercados) específicos; ISO/IEC 27010:2015: Comunicação intra-setores e intra- organizacionais (segunda edição 2015, a 1ª foi em 2012) ✓ Guia para a comunicação em GSI no escopo da organização e fora dela (sobretudo para entre empresas do mesmo setor). ✓ O objetivo é prover auxílio para quem deseja evoluir com as práticas através de contatos e network entre partes de um mesmo segmento de mercado que buscam aprimorar a GSI; 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27011:2016: Telecomunicações ✓ Desenvolvida em conjunto com o ITU-T (Setor de Normatização das Telecomunicações), replicada para a norma ITU-T X.1051; ISO/IEC 27012: Governo ✓ Foi proposta para gestão da segurança da informação em organizações da administração pública, mas foi cancelada; ISO/IEC 27013:2015: Gestão de Serviços em TI ✓ Implementação integrada da 27001 com a ISO/IEC 20000- 1:2011 (ITIL), coordenando atividades multidisciplinares; 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27014:2013: Governança de S.I. ✓ Especifica como avaliar, dirigir, controlar e comunicar todas as práticas internas da empresa relacionadas a segurança da informação, de forma que sejam compreendidas e estejam alinhadas com necessidades das áreas de negócio; ✓ Também desenvolvida em conjunto com o ITU-T e replicada para a norma ITU-T X.1054; ISO/IEC 27015: Setor financeiro ✓ Foi proposta para aborda a gestão da segurança da informação para serviços financeiros, mas foi cancelada; 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27016:2014: Setor Econômico ISO/IEC 27017:2015: Computação em Nuvem ✓ Implementação de controles de segurança de informações específicas da nuvem que complementam a orientação das normas ISO/IEC 27002 e ISO/IEC 27001. ✓ Disponibiliza instruções de implementação de controles adicionais de segurança da informação específicos para provedores de serviços de nuvem; ✓ Provedores buscam estar conformes, ex.: AWS: https://aws.amazon.com/pt/compliance/iso-27017-faqs/ 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27018:2019: Informações de Identificação Pessoal (PII) para computação em nuvem ✓ 1ª edição de 2014. 2ª. edição atual de 2019; ✓ Complementar à ISO 27017; ✓ Baseada na ISO 27002, ISO 17788 “Computação em nuvem – Visão Geral e Vocabulário” e ISO/IEC 29100 “framework de privacidade”; ✓ Suporte global de padrões internacionais como CSA (Cloud Security Alliance). Base para a GDPR e outras leis de proteção de dados pessoais; 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27019:2017: Indústria de Energia ✓ Segurança para automação: PLC (Programmable Logic Controllers), IIOT (Industrial Internet of Things), ICS (Industrial Control Systems) and SCADA (Supervisory Control And Data Acquisition) ISO/IEC 27031:2011: TIC ✓ Guia de princípios/conceitos por trás do papel da segurança da informação para TIC (Tecnologia da Informação e Comunicações) para garantir a continuidade dos negócios. 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27032:2012: Cybersegurança ✓ Está em sua definição a preservação da confidencialidade, integridade e disponibilidade da informação no "Cyberspace": crimes na internet, guerras cibernéticas e nos ambientes da internet ISO/IEC 27033: Segurança de Redes ✓ Derivada da ISO/IEC 18028, segmentada em 6 partes: introdução e conceitos (27033-1:2015), planejamento, técnicas de projetos, gateways, VPNs e wireless 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27034: Segurança em Aplicações ✓ Alinhada com a ISO 31000, segmentada em 7 partes: introdução e conceitos (27034-1:2011), normativas, guia para o processo de gestão, validação de requisitos, protocolos e estrutura de dados de controle, estudo de casos e framework de seguro preditivo ISO/IEC 27037:2016: Análise Forense ✓ Orientações para a identificação, coleta, aquisição e preservação de evidências forenses digitais. 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27039:2015: IDS (Intrusion Detection Systems) ✓ Um guia para seleção, contratação, desenho, operação e administração de sistemas IDS. ISO/IEC 27040:2015: Storage ✓ Aspectos de segurança da informação para sistemas e Infraestrutura de storage: IP SAN, NAS e CAS ISO/IEC 27102:2019: Seguro cibernético ✓ Escopo de seguros profissionais, custo/benefício, vantagens e desvantagens e oportunidades. 3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27701:2019: Privacidade ✓ Especifica os requisitos e fornece a orientação para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações sobre Privacidade ✓ Inclui mapeamento para: o quadro e os princípios de privacidade definidos na norma ISO/IEC 29100; ISO/IEC 27018; ISO/IEC 29151; e o Regulamento Geral de Proteção de Dados da UE (GDPR) 3.1 – Normas de Segurança ISO/IEC
• HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport: 2018. • Portal GSTI: https://www.portalgsti.com.br/ • ISO27K Information Security: https://www.iso27001security.com/ BIBLIOGRAFIA
ATIVIDADE 10 Em sala ISO 27001:2013 e 27002:2013 a) Em grupos de até 5 pessoas b) Responder em uma folha e entregar ao professor até o final da aula. 1. Verificar as normas 27001 e 27002 publicadas no Classroom buscando por tópicos relevantes no entendimento do grupo. Preparar então algumas diretrizes/procedimentos de segurança da informação para sua empresa referenciando o capítulo escolhido da norma. 2. Mínimo: 1 página.
OBRIGADO! kleber.silva@pro.fecaf.com.br www.linkedin.com/in/kleberjs/

Recomendados

Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Cobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoCobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoMarcio Henning
 
Análise de ferramentas para gestão de regras de negócio em sistemas de inform...
Análise de ferramentas para gestão de regras de negócio em sistemas de inform...Análise de ferramentas para gestão de regras de negócio em sistemas de inform...
Análise de ferramentas para gestão de regras de negócio em sistemas de inform...Bruno Dadalt Zambiazi
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoMarcelo Martins
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Taxonomia bacteriana-e-estrutura-de-células-procarióticas
Taxonomia bacteriana-e-estrutura-de-células-procarióticasTaxonomia bacteriana-e-estrutura-de-células-procarióticas
Taxonomia bacteriana-e-estrutura-de-células-procarióticasMauricio Seifert
 
Aula de Microbiologia Clínica sobre Meios de cultura bacteriana
Aula de Microbiologia Clínica sobre Meios de cultura bacterianaAula de Microbiologia Clínica sobre Meios de cultura bacteriana
Aula de Microbiologia Clínica sobre Meios de cultura bacterianaJaqueline Almeida
 

Recomendados

Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Cobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoCobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoMarcio Henning
 
Análise de ferramentas para gestão de regras de negócio em sistemas de inform...
Análise de ferramentas para gestão de regras de negócio em sistemas de inform...Análise de ferramentas para gestão de regras de negócio em sistemas de inform...
Análise de ferramentas para gestão de regras de negócio em sistemas de inform...Bruno Dadalt Zambiazi
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoMarcelo Martins
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Taxonomia bacteriana-e-estrutura-de-células-procarióticas
Taxonomia bacteriana-e-estrutura-de-células-procarióticasTaxonomia bacteriana-e-estrutura-de-células-procarióticas
Taxonomia bacteriana-e-estrutura-de-células-procarióticasMauricio Seifert
 
Aula de Microbiologia Clínica sobre Meios de cultura bacteriana
Aula de Microbiologia Clínica sobre Meios de cultura bacterianaAula de Microbiologia Clínica sobre Meios de cultura bacteriana
Aula de Microbiologia Clínica sobre Meios de cultura bacterianaJaqueline Almeida
 
Aula bacteria
Aula bacteria Aula bacteria
Aula bacteria Flávia Fernandes
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
Guia da iso 22000 2018
Guia da iso 22000 2018Guia da iso 22000 2018
Guia da iso 22000 2018Elisa Borlido
 
Sais minerais bioquimica
Sais minerais bioquimicaSais minerais bioquimica
Sais minerais bioquimicaAmaury Xavier
 
Aula 12 virus
Aula 12 virusAula 12 virus
Aula 12 virusGildo Crispim
 
Introdução à microbiologia
Introdução à microbiologiaIntrodução à microbiologia
Introdução à microbiologiaRenato Varges - UFF
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
Introdução microbiologia
Introdução microbiologiaIntrodução microbiologia
Introdução microbiologiaJefferson Queiroz da Silva
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoFabiano Da Ventura
 
Gerenciamento de Infraestrutura de TIC com ITIL
Gerenciamento de Infraestrutura de TIC com ITILGerenciamento de Infraestrutura de TIC com ITIL
Gerenciamento de Infraestrutura de TIC com ITILRildo (@rildosan) Santos
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Tipos de sistemas de informação nas organizações
Tipos de sistemas de informação nas organizaçõesTipos de sistemas de informação nas organizações
Tipos de sistemas de informação nas organizaçõesPricila Yessayan
 
Transformação Digital
Transformação DigitalTransformação Digital
Transformação DigitalAlvaro Rezende
 
Trabalho de Diagnóstico Estratégico de Marketing
Trabalho de Diagnóstico Estratégico de MarketingTrabalho de Diagnóstico Estratégico de Marketing
Trabalho de Diagnóstico Estratégico de MarketingMariana Pita
 
AULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptx
AULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptxAULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptx
AULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptxKarineRibeiro57
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Digestão e absorção de lipídios
Digestão e absorção de lipídiosDigestão e absorção de lipídios
Digestão e absorção de lipídiosEmmanuel Souza
 
Segurança Alimentar de Produtos de Origem Animal – POA
Segurança Alimentar de Produtos de Origem Animal – POASegurança Alimentar de Produtos de Origem Animal – POA
Segurança Alimentar de Produtos de Origem Animal – POAMinistério Público de Santa Catarina
 
Sistema de Informações Gerenciais - OSM
Sistema de Informações Gerenciais - OSMSistema de Informações Gerenciais - OSM
Sistema de Informações Gerenciais - OSMTajra Assessoria Educacional Ltda
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 

Mais conteúdo relacionado

Mais procurados

ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
Guia da iso 22000 2018
Guia da iso 22000 2018Guia da iso 22000 2018
Guia da iso 22000 2018Elisa Borlido
 
Sais minerais bioquimica
Sais minerais bioquimicaSais minerais bioquimica
Sais minerais bioquimicaAmaury Xavier
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoFabiano Da Ventura
 
Gerenciamento de Infraestrutura de TIC com ITIL
Gerenciamento de Infraestrutura de TIC com ITILGerenciamento de Infraestrutura de TIC com ITIL
Gerenciamento de Infraestrutura de TIC com ITILRildo (@rildosan) Santos
 
Tipos de sistemas de informação nas organizações
Tipos de sistemas de informação nas organizaçõesTipos de sistemas de informação nas organizações
Tipos de sistemas de informação nas organizaçõesPricila Yessayan
 
Transformação Digital
Transformação DigitalTransformação Digital
Transformação DigitalAlvaro Rezende
 
Trabalho de Diagnóstico Estratégico de Marketing
Trabalho de Diagnóstico Estratégico de MarketingTrabalho de Diagnóstico Estratégico de Marketing
Trabalho de Diagnóstico Estratégico de MarketingMariana Pita
 
AULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptx
AULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptxAULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptx
AULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptxKarineRibeiro57
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Digestão e absorção de lipídios
Digestão e absorção de lipídiosDigestão e absorção de lipídios
Digestão e absorção de lipídiosEmmanuel Souza
 

Mais procurados (20)

Aula bacteria
Aula bacteria Aula bacteria
Aula bacteria
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
Guia da iso 22000 2018
Guia da iso 22000 2018Guia da iso 22000 2018
Guia da iso 22000 2018
 
Sais minerais bioquimica
Sais minerais bioquimicaSais minerais bioquimica
Sais minerais bioquimica
 
Aula 12 virus
Aula 12 virusAula 12 virus
Aula 12 virus
 
Introdução à microbiologia
Introdução à microbiologiaIntrodução à microbiologia
Introdução à microbiologia
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Introdução microbiologia
Introdução microbiologiaIntrodução microbiologia
Introdução microbiologia
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
 
Gerenciamento de Infraestrutura de TIC com ITIL
Gerenciamento de Infraestrutura de TIC com ITILGerenciamento de Infraestrutura de TIC com ITIL
Gerenciamento de Infraestrutura de TIC com ITIL
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Tipos de sistemas de informação nas organizações
Tipos de sistemas de informação nas organizaçõesTipos de sistemas de informação nas organizações
Tipos de sistemas de informação nas organizações
 
Transformação Digital
Transformação DigitalTransformação Digital
Transformação Digital
 
Trabalho de Diagnóstico Estratégico de Marketing
Trabalho de Diagnóstico Estratégico de MarketingTrabalho de Diagnóstico Estratégico de Marketing
Trabalho de Diagnóstico Estratégico de Marketing
 
AULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptx
AULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptxAULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptx
AULA 01- HISTORIA E IMPORTANCIA DA MICROBIOLOGIA.pptx
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Digestão e absorção de lipídios
Digestão e absorção de lipídiosDigestão e absorção de lipídios
Digestão e absorção de lipídios
 
Segurança Alimentar de Produtos de Origem Animal – POA
Segurança Alimentar de Produtos de Origem Animal – POASegurança Alimentar de Produtos de Origem Animal – POA
Segurança Alimentar de Produtos de Origem Animal – POA
 
Sistema de Informações Gerenciais - OSM
Sistema de Informações Gerenciais - OSMSistema de Informações Gerenciais - OSM
Sistema de Informações Gerenciais - OSM
 

Semelhante a Normas de Segurança da Informação - Família ISO/IEC 27000

Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kAldson Diego
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2Fabrício Basto
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013Felipe Prado
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarArthur Tofolo Washington
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 

Semelhante a Normas de Segurança da Informação - Família ISO/IEC 27000 (20)

Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 

Mais de Kleber Silva

Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPMMonitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPMKleber Silva
 
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NASAnálise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NASKleber Silva
 
Análise comparativa de desempenho de FileSystems em ambientes virtualizados
Análise comparativa de desempenho de FileSystems em ambientes virtualizadosAnálise comparativa de desempenho de FileSystems em ambientes virtualizados
Análise comparativa de desempenho de FileSystems em ambientes virtualizadosKleber Silva
 
Planejamento de Capacidade e Desempenho de Backup em Disco
Planejamento de Capacidade e Desempenho de Backup em DiscoPlanejamento de Capacidade e Desempenho de Backup em Disco
Planejamento de Capacidade e Desempenho de Backup em DiscoKleber Silva
 
Avaliação de arquiteturas de uma solução de Backup na Nuvem
Avaliação de arquiteturas de uma solução de Backup na NuvemAvaliação de arquiteturas de uma solução de Backup na Nuvem
Avaliação de arquiteturas de uma solução de Backup na NuvemKleber Silva
 
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2 Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2 Kleber Silva
 

Mais de Kleber Silva (6)

Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPMMonitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
 
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NASAnálise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
 
Análise comparativa de desempenho de FileSystems em ambientes virtualizados
Análise comparativa de desempenho de FileSystems em ambientes virtualizadosAnálise comparativa de desempenho de FileSystems em ambientes virtualizados
Análise comparativa de desempenho de FileSystems em ambientes virtualizados
 
Planejamento de Capacidade e Desempenho de Backup em Disco
Planejamento de Capacidade e Desempenho de Backup em DiscoPlanejamento de Capacidade e Desempenho de Backup em Disco
Planejamento de Capacidade e Desempenho de Backup em Disco
 
Avaliação de arquiteturas de uma solução de Backup na Nuvem
Avaliação de arquiteturas de uma solução de Backup na NuvemAvaliação de arquiteturas de uma solução de Backup na Nuvem
Avaliação de arquiteturas de uma solução de Backup na Nuvem
 
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2 Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
 

Normas de Segurança da Informação - Família ISO/IEC 27000

  • 1.
  • 2. AULA 14 Segurança da Informação Professor: Kleber Silva Email: kleber.silva@pro.fecaf.com.br Curso: Gestão de Tecnologia da Informação Turma: 3o. e 4o. semestre - Noturno Data: 12 de novembro de 2019
  • 3. 3 - Gestão da Segurança da Informação Exploração 3.1 – Normas de Segurança ISO/IEC 27000 3.2 - Política de Segurança da Informação 3.3 – LGPD: contexto da privacidade dos dados 3.4 – LGPD: áreas envolvidas e metodologias
  • 4. 3.1 – Normas de Segurança ISO/IEC Em 1995, as organizações internacionais ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) deram origem a um grupo de normas que consolidam as diretrizes relacionadas ao escopo de Segurança da Informação, sendo representada pela série 27000: https://www.iso27001security.com/
  • 5. ISO/IEC 27000 : visão geral/introdução à família ISO 27000 ✓ Atualizações anteriores: 2009, 2012, 2014, 2016 ✓ A norma ISO/IEC 27000:2018 fornece a visão geral dos sistemas de gerenciamento de segurança da informação e os termos e definições comumente usados na família de normas ISO/IEC 27001 ✓ Aplicável para multinacionais até as pequenas e médias empresas, a nova versão de fevereiro de 2018 é igualmente valiosa para agências governamentais ou organizações sem fins lucrativos. 3.1 – Normas de Segurança ISO/IEC
  • 6. ISO/IEC 27001:2013: define requisitos para um Sistema de Gestão da Segurança da Informação (SGSI ) ✓ Histórico: BS (British Standart) 7799, ISO/IEC 27001:2005 ✓ Gestão global da organização, com base em uma abordagem de risco do negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a S.I; ✓ O SGSI inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos; ✓ Base para obter a certificação empresarial em GSI: 3.1 – Normas de Segurança ISO/IEC
  • 7. ISO/IEC 27002:2013: melhores práticas de controle ✓ Histórico: 1ª edição de 2005. Segunda edição atual: 2013 ✓ É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode ser também consultada de forma independente com fins de adoção das boas práticas. ✓ Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a GSI em uma organização. ✓ Principais seções: PSI, Gestão de Ativos, RH, Física, Comunicações, Controle de Acesso, Gestão da continuidade do negócio, Gestão da continuidade do negócio, Compliance 3.1 – Normas de Segurança ISO/IEC
  • 8. 3.1 – Normas de Segurança ISO/IEC Estrutu- ra da ISO/IEC 27002: 2013
  • 9. “HINTZBERGEN (2018) afirma que “A ISO/IEC 27002 : 2013 estabelece que as políticas de segurança da informação devem ser revisadas em intervalos planejados ou se ocorrerem mudanças significativas, a fim de assegurar sua contínua conformidade.”
  • 10. ISO/IEC 27003:2017: guia de implementação ✓ Histórico: 1ª edição de 2010; ➢ Segunda edição atual: 2017; ✓ Dispõe sobre diretrizes para implantação de um SGSI; ✓ Uma vez que a 27001 apresenta uma linguagem mais formal e teórica, a 27003 a complementa com direcionamentos práticos de implementação e explicações; ➢ Foi escrita em cima da mesma estrutura de 27001, expandindo cada tópico e abordando as implicações práticas de cada item. 3.1 – Normas de Segurança ISO/IEC
  • 11. ISO/IEC 27004:2016: monitoração, medida, análise e avaliação ✓ Histórico: 1ª edição de 2009, segunda edição atual: 2016; ✓ Define métricas de medição para a gestão da S.I., conhecidas como métricas de segurança; ✓ Auxilia as empresas a avaliar a eficácia e eficiência das outras normas e melhorar a gestão sistematicamente; ✓ Pode ser uma importante aliada no momento de definir as metas de níveis de serviço, expandindo o item 9.1 da 27001. 3.1 – Normas de Segurança ISO/IEC
  • 12. ISO/IEC 27005:2018: Gestão de Riscos da S.I. ✓ Histórico: 1ª ed. 2008, 2ª ed. 2011, 3ª. edição atual: 2018; ✓ Grande parte do escopo da ISO 27005 pode ser interpretada como a sessão 4 da norma ISO 27001: Riscos; ✓ A 27005 apresenta vários conceitos importantes, tais como: ➢ Risco: é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização; ➢ Medida de risco: é a combinação da probabilidade de um evento indesejável e a sua consequência; 3.1 – Normas Segurança ISO/IEC
  • 13. 3.1 – Normas de Segurança ISO/IEC ISO/IEC 27005:2018: Gestão de Riscos da S.I.
  • 14. ISO/IEC 27006:2015: Auditoria em SGSI ✓ Histórico: 1ª ed. 2007 ➢2ª ed. 2011 (baseada na ISO 17021) ➢3ª. edição atual: 2015 (baseada na ISO 19011) ✓ Define requisitos para organizações que prestam serviços de auditoria e certificação de sistemas de gestão de segurança da informação, com base na ISO 27001, 17021 e 19011 ✓ ISO 27007:2017 e 27008:2019 -> complementam a 27006 especificando requisitos e procedimentos para um auditor certificar determinado sistema de segurança,; 3.1 – Normas de Segurança ISO/IEC
  • 15. ISO/IEC 27009:2016: Indústrias específicas ✓ Requisitos adicionais para implantação da 27001 em setores (campos, aplicações e mercados) específicos; ISO/IEC 27010:2015: Comunicação intra-setores e intra- organizacionais (segunda edição 2015, a 1ª foi em 2012) ✓ Guia para a comunicação em GSI no escopo da organização e fora dela (sobretudo para entre empresas do mesmo setor). ✓ O objetivo é prover auxílio para quem deseja evoluir com as práticas através de contatos e network entre partes de um mesmo segmento de mercado que buscam aprimorar a GSI; 3.1 – Normas de Segurança ISO/IEC
  • 16. ISO/IEC 27011:2016: Telecomunicações ✓ Desenvolvida em conjunto com o ITU-T (Setor de Normatização das Telecomunicações), replicada para a norma ITU-T X.1051; ISO/IEC 27012: Governo ✓ Foi proposta para gestão da segurança da informação em organizações da administração pública, mas foi cancelada; ISO/IEC 27013:2015: Gestão de Serviços em TI ✓ Implementação integrada da 27001 com a ISO/IEC 20000- 1:2011 (ITIL), coordenando atividades multidisciplinares; 3.1 – Normas de Segurança ISO/IEC
  • 17. ISO/IEC 27014:2013: Governança de S.I. ✓ Especifica como avaliar, dirigir, controlar e comunicar todas as práticas internas da empresa relacionadas a segurança da informação, de forma que sejam compreendidas e estejam alinhadas com necessidades das áreas de negócio; ✓ Também desenvolvida em conjunto com o ITU-T e replicada para a norma ITU-T X.1054; ISO/IEC 27015: Setor financeiro ✓ Foi proposta para aborda a gestão da segurança da informação para serviços financeiros, mas foi cancelada; 3.1 – Normas de Segurança ISO/IEC
  • 18. ISO/IEC 27016:2014: Setor Econômico ISO/IEC 27017:2015: Computação em Nuvem ✓ Implementação de controles de segurança de informações específicas da nuvem que complementam a orientação das normas ISO/IEC 27002 e ISO/IEC 27001. ✓ Disponibiliza instruções de implementação de controles adicionais de segurança da informação específicos para provedores de serviços de nuvem; ✓ Provedores buscam estar conformes, ex.: AWS: https://aws.amazon.com/pt/compliance/iso-27017-faqs/ 3.1 – Normas de Segurança ISO/IEC
  • 19. ISO/IEC 27018:2019: Informações de Identificação Pessoal (PII) para computação em nuvem ✓ 1ª edição de 2014. 2ª. edição atual de 2019; ✓ Complementar à ISO 27017; ✓ Baseada na ISO 27002, ISO 17788 “Computação em nuvem – Visão Geral e Vocabulário” e ISO/IEC 29100 “framework de privacidade”; ✓ Suporte global de padrões internacionais como CSA (Cloud Security Alliance). Base para a GDPR e outras leis de proteção de dados pessoais; 3.1 – Normas de Segurança ISO/IEC
  • 20. ISO/IEC 27019:2017: Indústria de Energia ✓ Segurança para automação: PLC (Programmable Logic Controllers), IIOT (Industrial Internet of Things), ICS (Industrial Control Systems) and SCADA (Supervisory Control And Data Acquisition) ISO/IEC 27031:2011: TIC ✓ Guia de princípios/conceitos por trás do papel da segurança da informação para TIC (Tecnologia da Informação e Comunicações) para garantir a continuidade dos negócios. 3.1 – Normas de Segurança ISO/IEC
  • 21. ISO/IEC 27032:2012: Cybersegurança ✓ Está em sua definição a preservação da confidencialidade, integridade e disponibilidade da informação no "Cyberspace": crimes na internet, guerras cibernéticas e nos ambientes da internet ISO/IEC 27033: Segurança de Redes ✓ Derivada da ISO/IEC 18028, segmentada em 6 partes: introdução e conceitos (27033-1:2015), planejamento, técnicas de projetos, gateways, VPNs e wireless 3.1 – Normas de Segurança ISO/IEC
  • 22. ISO/IEC 27034: Segurança em Aplicações ✓ Alinhada com a ISO 31000, segmentada em 7 partes: introdução e conceitos (27034-1:2011), normativas, guia para o processo de gestão, validação de requisitos, protocolos e estrutura de dados de controle, estudo de casos e framework de seguro preditivo ISO/IEC 27037:2016: Análise Forense ✓ Orientações para a identificação, coleta, aquisição e preservação de evidências forenses digitais. 3.1 – Normas de Segurança ISO/IEC
  • 23. ISO/IEC 27039:2015: IDS (Intrusion Detection Systems) ✓ Um guia para seleção, contratação, desenho, operação e administração de sistemas IDS. ISO/IEC 27040:2015: Storage ✓ Aspectos de segurança da informação para sistemas e Infraestrutura de storage: IP SAN, NAS e CAS ISO/IEC 27102:2019: Seguro cibernético ✓ Escopo de seguros profissionais, custo/benefício, vantagens e desvantagens e oportunidades. 3.1 – Normas de Segurança ISO/IEC
  • 24. ISO/IEC 27701:2019: Privacidade ✓ Especifica os requisitos e fornece a orientação para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações sobre Privacidade ✓ Inclui mapeamento para: o quadro e os princípios de privacidade definidos na norma ISO/IEC 29100; ISO/IEC 27018; ISO/IEC 29151; e o Regulamento Geral de Proteção de Dados da UE (GDPR) 3.1 – Normas de Segurança ISO/IEC
  • 25. • HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport: 2018. • Portal GSTI: https://www.portalgsti.com.br/ • ISO27K Information Security: https://www.iso27001security.com/ BIBLIOGRAFIA
  • 26. ATIVIDADE 10 Em sala ISO 27001:2013 e 27002:2013 a) Em grupos de até 5 pessoas b) Responder em uma folha e entregar ao professor até o final da aula. 1. Verificar as normas 27001 e 27002 publicadas no Classroom buscando por tópicos relevantes no entendimento do grupo. Preparar então algumas diretrizes/procedimentos de segurança da informação para sua empresa referenciando o capítulo escolhido da norma. 2. Mínimo: 1 página.