Este documento apresenta um curso sobre a norma ISO 27000. O curso terá 40 horas de duração divididas em 5 aulas com intervalos. O instrutor é um especialista em segurança da informação com experiência em bancos e universidades. O documento também resume as principais normas de segurança da informação da ISO e onde elas podem ser aplicadas.

1. © 2011 Marcelo Lau
o
Curso ISO 27000
Overview
Prof. Marcelo Lau

2. © 2011 Marcelo Lau
Estrutura do curso
 Carga horária: 40 horas.
 5 aulas (8 horas) com 2 intervalos de 15 minutos e
1 intervalo de 1 hora (almoço).
 Necessária Frequência Mínima de 80%.
2

3. © 2011 Marcelo Lau
Instrutor
Prof. Msc. Marcelo Lau
E-mail: marcelo.lau@datasecurity.com.br
 Diretor Executivo da Data Security.
 Atuou mais de 12 anos em bancos brasileiros em Segurança da Informação e
Prevenção à Fraude.
 Atualmente ministra aulas de formação em Compliance pela FEBRABAN, e
Forense Computacional na Universidade Presbiteriana Mackenzie e na FIAP.
 Foi professor no MBA de Segurança da Informação da FATEC/SP
 Coordenou o curso de Gestão em Segurança da Informação e Gerenciamento de
Projetos no SENAC/SP.
 É Engenheiro eletrônico da EEM com pós graduação em administração pela
FGV, mestre em ciência forense pela POLI/USP e pós graduado em
comunicação e arte pelo SENAC-SP.
 Ministra curso em Países como: Angola, Argentina, Colômbia, Bolívia, Perú e
Paraguai.
 É reconhecido pela imprensa Brasileira e Argentina com trabalhos realizados em
vários países do mundo.
3

4. © 2011 Marcelo Lau
O que é ISO?
 Sede: Genebra – Suíça.
 Fundação: 1946.
 Países integrantes: 161.
 Brasil: ABNT – Associação Brasileira de Normas
Técnicas.
 Objetivo: Desenvolver e promover normas
que possam ser utilizadas por todos os
países do mundo.
4

5. © 2011 Marcelo Lau
O que é IEC?
 International Electrotechnical Commission
 Fundação: 1906.
 Objetivo: Desenvolver e promover normas
na área da tecnologia elétrica, incluindo
eletrônica, eletroacústica, energia, etc.
5

6. © 2011 Marcelo Lau
O que é AMN?
 Asociación Mercosur de Normalización
 Fundação: 1991
 Objetivo: a promoção do desenvolvimento da
normalização e atividades conexas, bem como da
qualidade de produtos e serviços, nos países
membros do Mercosul.
 Representada no Brasil pela ABNT (Associação
Brasileira de Normas Técnicas).
6

7. © 2011 Marcelo Lau
Segurança da Informação no Brasil
 Normas traduzidas pela ABNT:
 NBR ISO/IEC 17799:2005 – Tecnologia da
Informação – Técnicas de Segurança – Código de
Prática para Gestão de Segurança da Informação.
 Controles de segurança da informação.
 NBR ISO/IEC 27002:2005 – Política de
Segurança - Segurança em Recursos Humanos
- Segurança física e do ambiente - Controle de
acessos - Aquisição, desenvolvimento e manutenção
de sistemas de informação - Gestão de incidentes
de segurança da informação - Gestão da
continuidade do negócio - Conformidade
7

8. © 2011 Marcelo Lau
Segurança da Informação no Brasil
 Normas traduzidas pela ABNT:
 NBR ISO/IEC 27001:2006 – Tecnologia da
Informação – Técnicas de Segurança – Sistema de
Gestão de Segurança da Informação – Requisitos.
 Requisitos de sistemas de gestão da informação.
 NBR ISO/IEC 27005:2008 – Tecnologia da
informação - Técnicas de segurança - Gestão de
riscos de segurança da informação
8

9. © 2011 Marcelo Lau
Segurança da Informação no Brasil
 Normas traduzidas pela ABNT:
 NBR ISO/IEC 27011:2009 – Tecnologia da
informação - Técnicas de segurança - Diretrizes
para gestão da segurança da informação para
organizações de telecomunicações baseadas na
ABNT NBR ISO/IEC 27002:2009
 NBR ISO/IEC 27004:2010 – Tecnologia da
informação — Técnicas de segurança — Gestão da
segurança da informação — Medição
9

10. © 2011 Marcelo Lau
Onde aplicar as ISO 27000 e ISO 17799 ?
 Como metodologia estruturada com foco à segurança da
informação.
 Como processo de segurança da informação (SGSI) para:
 Estabelecer.
 Implementar.
 Operar.
 Monitorar.
 Analisar Criticamente.
 Manter.
 Melhorar.
 Como controle. Abrangendo as melhores práticas em segurança
da informação.
 Aplica-se à empresas/organizações:
 Independente do Tamanho / Tipo / Natureza.
10

11. © 2011 Marcelo Lau
Onde aplicar as ISO 27000 e ISO 17799 ?
 Influências para especificação e implementação da
SGSI.
 Necessidades e objetivos.
 Requisitos de segurança.
 Processos empregados.
 Tamanho e estrutura da organização.
 Espera-se que a SGSI.
 Seja aderente à evolução de seu:
 Ambiente;
 Sistema; e
 Empresa.
 Espera-se usar a norma para avaliar a conformidade
por partes:
 Internas. (Ex: Auditorias internas).
 Externas. (Ex: Empresas certificadoras).
11

12. © 2011 Marcelo Lau
Conteúdo completo da formação
 Introdução à ISO 27000
 Termos e definições
 ISO 27001 - Sistema de Gestão de Segurança da Informação
 ISO 27002 – Controles
 ISO 27004 - Métricas para a Gestão da Segurança da Informação
 ISO 27005 – Gestão de Riscos de Segurança da Informação
 ISO 27011 – Diretrizes para gestão de segurança da informação
para organizações de telecomunicações baseadas na ISO 27002
 ISO 19011 – Diretrizes para auditorias de sistema de gestão da
qualidade e/ou ambiental
12

13. © 2011 Marcelo Lau
Referências adicionais para estudo
 Bibliografia Data Security (http://www.datasecurity.com.br) em:
 Análise de vulnerabilidade.
 Forense Computacional.
 Biometria.
 Segurança em Sistemas Operacionais.
 Ameaças aos sistemas computacionais.
 E muito mais...
13