O documento discute a norma ISO/IEC 27001, que estabelece os requisitos para um Sistema de Gestão de Segurança da Informação. A norma fornece uma estrutura para que as organizações estabeleçam, implementem, operem, monitorem, analisem criticamente, mantenham e melhorem a segurança da informação. O documento também descreve os elementos essenciais de um Sistema de Gestão de Segurança da Informação de acordo com a norma ISO/IEC 27001.

1. ISO/IEC 27001 Anderson LopesBSI-8

2. Sobre a apresentação Apresentação solicitada pela professora Simone, para a sua matéria, Tópicos em TI.

3. Mas, o que é ISO? ISO é uma palavra derivada do grego isos (igual), que aparece como prefixo em termos tais como: isometria (qualidade de medidas e dimensões), isonomia (igualdade das pessoas perante à lei.

4. Mas, o que é ISO? Consequentemente, associa-se iso (igual) a "padrão", o que levou a uma linha de pensamento que redundou na escolha de ISO como identificação mundial da InternationalOrganization for Standardization, para evitar a infinidade de siglas resultantes da tradução em diversas línguas dessa Organização Não Governamental criada em 1947 e sediada em Genebra, na Suíça.

5. Objetivo do ISO Trata-se de uma instituição cujo objetivo é propor e monitorar normas que representem e traduzam o consenso de diferentes países para a normalização de procedimentos, medidas e materiais em todos os domínios da atividade produtiva.

6. Início do ISO Em 1987 a ISO editou, com base nos preceitos da British Standard - BS5750, a série 9000, que são as normas que tratam de Sistemas para Gestão e Garantia da Qualidade nas empresas.

7. O que é a ISO/IEC 27001? ISO/IEC 27001 é um padrão para sistema de gerência da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo ISO e pelo IEC (InternationalElectrotechnicalCommision). Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001".

8. Visão geral

9. O que é informação? Ativo que, como todo ativo importante do negócio, tem valor para a organização e necessita ser devidamente protegido

10. Tipos de informação Falada Armazenada (meios eletrônicos ou não) Emitida (procedimento) Fotografada Lida, escrita, impressa Transmitida Filmada, etc... “... Não importa a forma que a informação tome, ou os meios pelos quais é compartilhada ou armazenada, convém que seja sempre apropriadamente protegida.” ABNT NBR ISO/IEC 17799:2005

11. Ameaças, Vulnerabilidades eRiscos Ameaça – Identificação e avaliação da possibilidade de eventos acidentais ou não desejados impactarem a infra estrutura de TI. Variam em severidade. Vulnerabilidade – Fatores que tornam a infra estrutura de TI suscetível à ameaças. Risco – Probabilidade da ocorrência da exploração de uma vulnerabilidade por uma ameaça. Variam em probabilidade e tem grau de perda.

12. Objetivo Ajudar as organizações que implementam a norma a EIOMAMM (Estabelecer, Implementar e Operar, Monitorar e Analisar criticamente e Manter e Melhorar) o seu SGSI (Sistema de Gestão da Segurança da Informação).

13. Sistema de Gestão de Sistemas de Informação(SGSI) Estrutura para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a SI (ABNT ISO/IEC 27001:2006). O monitorado é medido, e o que é medido é gerenciado.

14. Referência normativa Livro de normas técnicas para aplicação da qualquer norma ISO: ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Quem disponibiliza: ABNT (http://www.abnt.org.br/) ISO (http://www.iso.org) Material pago, cerca de R$ 400,00 Cursos, Workshop’s, etc. Outros meio lícitos e ilícitos.

15. Elementos do SGSI

16. O que o ISO 27001 faz pela empresa Metodologia Estruturada, reconhecida internacionalmente para garantir a SI Processo definido para validar, implementar, manter e gerenciar a SI Grupo abrangente de controles detalhados referente às melhores práticas na segurança da Informação Cobrem aspectos técnico e gerencial Gerais: não são direcionadas a produtos ou tecnologia Desenvolvidas por empresas, para empresas

17. Responsabilidades Comprometimento da direção; Gestão de recursos: Provisão de recursos; Treinamento, conscientização e competência.

18. Auditorias internas do SGSI A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI: atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes; atendem aos requisitos de segurança da informação identificados; estão mantidos e implementados eficazmente; e são executados conforme esperado.

19. Auditorias internas do SGSI Como planejar a auditoria? Considerar a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores; Definir critérios, escopo, frequência e métodos; Seleção de auditores, assegurando objetividade e imparcialidade. Auditores não devem auditar seu próprio trabalho. Definir, em procedimento documentado, as responsabilidades e requisitos de planejamento e execução, relato dos resultados e a manutenção dos registros; Responsável pela área auditada deve assegurar a execução, sem demora indevida, para eliminar as não-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a verificação das ações executadas e o relato dos resultados de verificação

20. Análise crítica do SGSI pela direção Análise crítica, pela direção, em intervalos planejados (pelo menos uma vez por ano); Avaliação de oportunidades para melhoria e necessidade de mudanças; Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos

21. Melhoria do SGSI A organização deve continuamente melhorar a eficácia do SGSI por meio do uso da política de segurança da informação, objetivos de segurança da informação, resultados de auditorias, análises de eventos monitorados, ações corretivas e preventivas e análise crítica pela direção. Ação corretiva: evitar a repetição de causas de não-conformidades com os requisitos de SGSI; Ação preventiva: evitar a ocorrência de causas de não-conformidades com os requisitos de SGSI.

22. Obrigado!!! Anderson Lopes BSI-8

23. Referências TRIBUNAL DE CONTAS DO ESTADO DO PARANÁ (Paraná). Certificação ISO 9001. Disponível em: <http://www2.tce.pr.gov.br/otribunal/iso_oque.asp>. Acesso em: 02 set. 2010. ARAÚJO, Rogério. ISO 27001: Visão geral. Disponível em: <http://waltercunha.com/blog/index.php/2010/08/03/iso-27001-visao-geral/>. Acesso em: 02 set. 2010. DESIDERIO. ISO 27001 - ISMS - Information Security Management System. Disponível em: <http://www.oficinadanet.com.br/artigo/589/iso_27001_-_isms_-_information_security_management_system>. Acesso em: 02 set. 2010. BRANDÃO, Ramon Gomes. Normas de Segurança da Informação Processo de Certificação: ISO 27001:2006. Disponível em: <http://wikimp.mp.go.gov.br/twiki/pub/EstruturaOrganica/AreaMeio/Superintendencias/SINFO/Estrategia/BibliotecaVirtual/ApresentacoesDas6as/090116_Apresentacao_ISO27001_Ramon.pdf>. Acesso em: 02 set. 2010. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001. Disponível em: <cavalcante.us/normas/ABNT/ABNT-NBR-ISO_IEC-27001.pdf>. Acesso em: 02 set. 2010.