SlideShare uma empresa Scribd logo
Normas de Segurança da Informação - Família ISO/IEC 27000
AULA 14
Segurança da Informação
Professor: Kleber Silva
Email: kleber.silva@pro.fecaf.com.br
Curso: Gestão de Tecnologia da Informação
Turma: 3o. e 4o. semestre - Noturno
Data: 12 de novembro de 2019
3 - Gestão da Segurança da
Informação
Exploração
3.1 – Normas de Segurança ISO/IEC 27000
3.2 - Política de Segurança da Informação
3.3 – LGPD: contexto da privacidade dos dados
3.4 – LGPD: áreas envolvidas e metodologias
3.1 – Normas de Segurança ISO/IEC
Em 1995, as organizações internacionais ISO (The International
Organization for Standardization) e IEC (International Electrotechnical
Commission) deram origem a um grupo de normas que consolidam as
diretrizes relacionadas ao escopo de Segurança da Informação, sendo
representada pela série 27000: https://www.iso27001security.com/
ISO/IEC 27000 : visão geral/introdução à família ISO 27000
✓ Atualizações anteriores: 2009, 2012, 2014, 2016
✓ A norma ISO/IEC 27000:2018 fornece a visão geral dos
sistemas de gerenciamento de segurança da
informação e os termos e definições comumente
usados na família de normas ISO/IEC 27001
✓ Aplicável para multinacionais até as pequenas e médias
empresas, a nova versão de fevereiro de 2018 é
igualmente valiosa para agências governamentais ou
organizações sem fins lucrativos.
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27001:2013: define requisitos para um Sistema de
Gestão da Segurança da Informação (SGSI )
✓ Histórico: BS (British Standart) 7799, ISO/IEC 27001:2005
✓ Gestão global da organização, com base em uma abordagem
de risco do negócio, para estabelecer, implementar, operar,
monitorar, revisar, manter e melhorar a S.I;
✓ O SGSI inclui estrutura organizacional, políticas, atividades
de planejamento, responsabilidades, práticas,
procedimentos, processos e recursos;
✓ Base para obter a certificação empresarial em GSI:
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27002:2013: melhores práticas de controle
✓ Histórico: 1ª edição de 2005. Segunda edição atual: 2013
✓ É recomendável que a norma seja utilizada em conjunto com
a ISO 27001, mas pode ser também consultada de forma
independente com fins de adoção das boas práticas.
✓ Estabelece diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a GSI em uma organização.
✓ Principais seções: PSI, Gestão de Ativos, RH, Física,
Comunicações, Controle de Acesso, Gestão da continuidade
do negócio, Gestão da continuidade do negócio, Compliance
3.1 – Normas de Segurança ISO/IEC
3.1 – Normas de Segurança ISO/IEC
Estrutu-
ra da
ISO/IEC
27002:
2013
“HINTZBERGEN (2018) afirma que “A
ISO/IEC 27002 : 2013 estabelece
que as políticas de segurança da
informação devem ser revisadas em
intervalos planejados ou se
ocorrerem mudanças significativas, a
fim de assegurar sua contínua
conformidade.”
ISO/IEC 27003:2017: guia de implementação
✓ Histórico: 1ª edição de 2010;
➢ Segunda edição atual: 2017;
✓ Dispõe sobre diretrizes para implantação de um SGSI;
✓ Uma vez que a 27001 apresenta uma linguagem mais formal
e teórica, a 27003 a complementa com direcionamentos
práticos de implementação e explicações;
➢ Foi escrita em cima da mesma estrutura de 27001,
expandindo cada tópico e abordando as implicações
práticas de cada item.
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27004:2016: monitoração, medida, análise e
avaliação
✓ Histórico: 1ª edição de 2009, segunda edição atual: 2016;
✓ Define métricas de medição para a gestão da S.I., conhecidas
como métricas de segurança;
✓ Auxilia as empresas a avaliar a eficácia e eficiência das outras
normas e melhorar a gestão sistematicamente;
✓ Pode ser uma importante aliada no momento de definir as
metas de níveis de serviço, expandindo o item 9.1 da 27001.
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27005:2018: Gestão de Riscos da S.I.
✓ Histórico: 1ª ed. 2008, 2ª ed. 2011, 3ª. edição atual: 2018;
✓ Grande parte do escopo da ISO 27005 pode ser interpretada
como a sessão 4 da norma ISO 27001: Riscos;
✓ A 27005 apresenta vários conceitos importantes, tais como:
➢ Risco: é a possibilidade de uma determinada ameaça
explorar vulnerabilidades de um ativo ou de um conjunto
de ativos, desta maneira prejudicando a organização;
➢ Medida de risco: é a combinação da probabilidade de um
evento indesejável e a sua consequência;
3.1 – Normas Segurança ISO/IEC
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27005:2018: Gestão de Riscos da S.I.
ISO/IEC 27006:2015: Auditoria em SGSI
✓ Histórico: 1ª ed. 2007
➢2ª ed. 2011 (baseada na ISO 17021)
➢3ª. edição atual: 2015 (baseada na ISO 19011)
✓ Define requisitos para organizações que prestam serviços de
auditoria e certificação de sistemas de gestão de segurança
da informação, com base na ISO 27001, 17021 e 19011
✓ ISO 27007:2017 e 27008:2019 -> complementam a 27006
especificando requisitos e procedimentos para um auditor
certificar determinado sistema de segurança,;
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27009:2016: Indústrias específicas
✓ Requisitos adicionais para implantação da 27001 em setores
(campos, aplicações e mercados) específicos;
ISO/IEC 27010:2015: Comunicação intra-setores e intra-
organizacionais (segunda edição 2015, a 1ª foi em 2012)
✓ Guia para a comunicação em GSI no escopo da organização e
fora dela (sobretudo para entre empresas do mesmo setor).
✓ O objetivo é prover auxílio para quem deseja evoluir com as
práticas através de contatos e network entre partes de um
mesmo segmento de mercado que buscam aprimorar a GSI;
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27011:2016: Telecomunicações
✓ Desenvolvida em conjunto com o ITU-T (Setor de
Normatização das Telecomunicações), replicada para a
norma ITU-T X.1051;
ISO/IEC 27012: Governo
✓ Foi proposta para gestão da segurança da informação em
organizações da administração pública, mas foi cancelada;
ISO/IEC 27013:2015: Gestão de Serviços em TI
✓ Implementação integrada da 27001 com a ISO/IEC 20000-
1:2011 (ITIL), coordenando atividades multidisciplinares;
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27014:2013: Governança de S.I.
✓ Especifica como avaliar, dirigir, controlar e comunicar todas
as práticas internas da empresa relacionadas a segurança da
informação, de forma que sejam compreendidas e estejam
alinhadas com necessidades das áreas de negócio;
✓ Também desenvolvida em conjunto com o ITU-T e replicada
para a norma ITU-T X.1054;
ISO/IEC 27015: Setor financeiro
✓ Foi proposta para aborda a gestão da segurança da
informação para serviços financeiros, mas foi cancelada;
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27016:2014: Setor Econômico
ISO/IEC 27017:2015: Computação em Nuvem
✓ Implementação de controles de segurança de informações
específicas da nuvem que complementam a orientação das
normas ISO/IEC 27002 e ISO/IEC 27001.
✓ Disponibiliza instruções de implementação de controles
adicionais de segurança da informação específicos para
provedores de serviços de nuvem;
✓ Provedores buscam estar conformes, ex.: AWS:
https://aws.amazon.com/pt/compliance/iso-27017-faqs/
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27018:2019: Informações de Identificação Pessoal
(PII) para computação em nuvem
✓ 1ª edição de 2014. 2ª. edição atual de 2019;
✓ Complementar à ISO 27017;
✓ Baseada na ISO 27002, ISO 17788 “Computação em nuvem
– Visão Geral e Vocabulário” e ISO/IEC 29100 “framework de
privacidade”;
✓ Suporte global de padrões internacionais como CSA (Cloud
Security Alliance). Base para a GDPR e outras leis de proteção
de dados pessoais;
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27019:2017: Indústria de Energia
✓ Segurança para automação: PLC (Programmable Logic
Controllers), IIOT (Industrial Internet of Things), ICS
(Industrial Control Systems) and SCADA (Supervisory
Control And Data Acquisition)
ISO/IEC 27031:2011: TIC
✓ Guia de princípios/conceitos por trás do papel da
segurança da informação para TIC (Tecnologia da
Informação e Comunicações) para garantir a
continuidade dos negócios.
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27032:2012: Cybersegurança
✓ Está em sua definição a preservação da
confidencialidade, integridade e disponibilidade da
informação no "Cyberspace": crimes na internet, guerras
cibernéticas e nos ambientes da internet
ISO/IEC 27033: Segurança de Redes
✓ Derivada da ISO/IEC 18028, segmentada em 6 partes:
introdução e conceitos (27033-1:2015), planejamento,
técnicas de projetos, gateways, VPNs e wireless
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27034: Segurança em Aplicações
✓ Alinhada com a ISO 31000, segmentada em 7 partes:
introdução e conceitos (27034-1:2011), normativas,
guia para o processo de gestão, validação de requisitos,
protocolos e estrutura de dados de controle, estudo de
casos e framework de seguro preditivo
ISO/IEC 27037:2016: Análise Forense
✓ Orientações para a identificação, coleta, aquisição e
preservação de evidências forenses digitais.
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27039:2015: IDS (Intrusion Detection Systems)
✓ Um guia para seleção, contratação, desenho, operação e
administração de sistemas IDS.
ISO/IEC 27040:2015: Storage
✓ Aspectos de segurança da informação para sistemas e
Infraestrutura de storage: IP SAN, NAS e CAS
ISO/IEC 27102:2019: Seguro cibernético
✓ Escopo de seguros profissionais, custo/benefício,
vantagens e desvantagens e oportunidades.
3.1 – Normas de Segurança ISO/IEC
ISO/IEC 27701:2019: Privacidade
✓ Especifica os requisitos e fornece a orientação para
estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gerenciamento de
Informações sobre Privacidade
✓ Inclui mapeamento para: o quadro e os princípios de
privacidade definidos na norma ISO/IEC 29100; ISO/IEC
27018; ISO/IEC 29151; e o Regulamento Geral de
Proteção de Dados da UE (GDPR)
3.1 – Normas de Segurança ISO/IEC
• HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com
base na ISO 27001 e na ISO 27002. São Paulo: Brasport: 2018.
• Portal GSTI: https://www.portalgsti.com.br/
• ISO27K Information Security: https://www.iso27001security.com/
BIBLIOGRAFIA
ATIVIDADE 10
Em sala
ISO 27001:2013 e 27002:2013
a) Em grupos de até 5 pessoas
b) Responder em uma folha e entregar ao professor até o final da aula.
1. Verificar as normas 27001 e 27002 publicadas no Classroom buscando
por tópicos relevantes no entendimento do grupo. Preparar então
algumas diretrizes/procedimentos de segurança da informação para sua
empresa referenciando o capítulo escolhido da norma.
2. Mínimo: 1 página.
OBRIGADO!
kleber.silva@pro.fecaf.com.br
www.linkedin.com/in/kleberjs/

Mais conteúdo relacionado

Mais procurados

Protocolos de Rede para Internet das Coisas
Protocolos de Rede para Internet das CoisasProtocolos de Rede para Internet das Coisas
Protocolos de Rede para Internet das Coisas
Nathalia Sautchuk Patricio
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
Carlos Henrique Martins da Silva
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Marco Mendes
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
Fernando Palma
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit  5 - APO13 - Gestão da Segurança da InformaçãoCobit  5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
Fabiano Da Ventura
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
trindade7
 
Curso completo COBIT 4.1
Curso completo COBIT 4.1Curso completo COBIT 4.1
Curso completo COBIT 4.1
Fernando Palma
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplos
Aldson Diego
 
Fraudes eletrônicas segurança de redes -ppt
Fraudes eletrônicas   segurança de redes -pptFraudes eletrônicas   segurança de redes -ppt
Fraudes eletrônicas segurança de redes -ppt
Carlos Melo
 
1.Introdução Banco de Dados
1.Introdução Banco de Dados1.Introdução Banco de Dados
1.Introdução Banco de Dados
vini_campos
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
MaraLuizaGonalvesFre
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Tecnologia da informação aula 1
Tecnologia da informação    aula 1Tecnologia da informação    aula 1
Tecnologia da informação aula 1
Patrick Souza, PMP®, ITIL®
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
Spark Security
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Allan Piter Pressi
 
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃOINTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
Edson Lima
 
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetosCapítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Everton Souza
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
GrupoAlves - professor
 

Mais procurados (20)

Protocolos de Rede para Internet das Coisas
Protocolos de Rede para Internet das CoisasProtocolos de Rede para Internet das Coisas
Protocolos de Rede para Internet das Coisas
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit  5 - APO13 - Gestão da Segurança da InformaçãoCobit  5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Curso completo COBIT 4.1
Curso completo COBIT 4.1Curso completo COBIT 4.1
Curso completo COBIT 4.1
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplos
 
Fraudes eletrônicas segurança de redes -ppt
Fraudes eletrônicas   segurança de redes -pptFraudes eletrônicas   segurança de redes -ppt
Fraudes eletrônicas segurança de redes -ppt
 
1.Introdução Banco de Dados
1.Introdução Banco de Dados1.Introdução Banco de Dados
1.Introdução Banco de Dados
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Tecnologia da informação aula 1
Tecnologia da informação    aula 1Tecnologia da informação    aula 1
Tecnologia da informação aula 1
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃOINTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
 
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetosCapítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
 

Semelhante a Normas de Segurança da Informação - Família ISO/IEC 27000

Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
Catia Marques
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
Data Security
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
Osanam Giordane da Costa Junior
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
Aldson Diego
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
Fabrício Basto
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
Felipe Prado
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
Arthur Tofolo Washington
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
jcfarit
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
IsmaelFernandoRiboli
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Luzia Dourado
 

Semelhante a Normas de Segurança da Informação - Família ISO/IEC 27000 (20)

Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 

Mais de Kleber Silva

Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPMMonitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
Kleber Silva
 
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NASAnálise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
Kleber Silva
 
Análise comparativa de desempenho de FileSystems em ambientes virtualizados
Análise comparativa de desempenho de FileSystems em ambientes virtualizadosAnálise comparativa de desempenho de FileSystems em ambientes virtualizados
Análise comparativa de desempenho de FileSystems em ambientes virtualizados
Kleber Silva
 
Planejamento de Capacidade e Desempenho de Backup em Disco
Planejamento de Capacidade e Desempenho de Backup em DiscoPlanejamento de Capacidade e Desempenho de Backup em Disco
Planejamento de Capacidade e Desempenho de Backup em Disco
Kleber Silva
 
Avaliação de arquiteturas de uma solução de Backup na Nuvem
Avaliação de arquiteturas de uma solução de Backup na NuvemAvaliação de arquiteturas de uma solução de Backup na Nuvem
Avaliação de arquiteturas de uma solução de Backup na Nuvem
Kleber Silva
 
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2 Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
Kleber Silva
 

Mais de Kleber Silva (6)

Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPMMonitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
Monitoramento de rede VOIP - Estudo de caso com uma solução de AANPM
 
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NASAnálise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
Análise comparativa entre as versões 3 e 4 do protocolo NFS em arquiteturas NAS
 
Análise comparativa de desempenho de FileSystems em ambientes virtualizados
Análise comparativa de desempenho de FileSystems em ambientes virtualizadosAnálise comparativa de desempenho de FileSystems em ambientes virtualizados
Análise comparativa de desempenho de FileSystems em ambientes virtualizados
 
Planejamento de Capacidade e Desempenho de Backup em Disco
Planejamento de Capacidade e Desempenho de Backup em DiscoPlanejamento de Capacidade e Desempenho de Backup em Disco
Planejamento de Capacidade e Desempenho de Backup em Disco
 
Avaliação de arquiteturas de uma solução de Backup na Nuvem
Avaliação de arquiteturas de uma solução de Backup na NuvemAvaliação de arquiteturas de uma solução de Backup na Nuvem
Avaliação de arquiteturas de uma solução de Backup na Nuvem
 
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2 Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
Backup na Nuvem - Palestra Faculdade Sumaré - 2013.2
 

Normas de Segurança da Informação - Família ISO/IEC 27000

  • 2. AULA 14 Segurança da Informação Professor: Kleber Silva Email: kleber.silva@pro.fecaf.com.br Curso: Gestão de Tecnologia da Informação Turma: 3o. e 4o. semestre - Noturno Data: 12 de novembro de 2019
  • 3. 3 - Gestão da Segurança da Informação Exploração 3.1 – Normas de Segurança ISO/IEC 27000 3.2 - Política de Segurança da Informação 3.3 – LGPD: contexto da privacidade dos dados 3.4 – LGPD: áreas envolvidas e metodologias
  • 4. 3.1 – Normas de Segurança ISO/IEC Em 1995, as organizações internacionais ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) deram origem a um grupo de normas que consolidam as diretrizes relacionadas ao escopo de Segurança da Informação, sendo representada pela série 27000: https://www.iso27001security.com/
  • 5. ISO/IEC 27000 : visão geral/introdução à família ISO 27000 ✓ Atualizações anteriores: 2009, 2012, 2014, 2016 ✓ A norma ISO/IEC 27000:2018 fornece a visão geral dos sistemas de gerenciamento de segurança da informação e os termos e definições comumente usados na família de normas ISO/IEC 27001 ✓ Aplicável para multinacionais até as pequenas e médias empresas, a nova versão de fevereiro de 2018 é igualmente valiosa para agências governamentais ou organizações sem fins lucrativos. 3.1 – Normas de Segurança ISO/IEC
  • 6. ISO/IEC 27001:2013: define requisitos para um Sistema de Gestão da Segurança da Informação (SGSI ) ✓ Histórico: BS (British Standart) 7799, ISO/IEC 27001:2005 ✓ Gestão global da organização, com base em uma abordagem de risco do negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a S.I; ✓ O SGSI inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos; ✓ Base para obter a certificação empresarial em GSI: 3.1 – Normas de Segurança ISO/IEC
  • 7. ISO/IEC 27002:2013: melhores práticas de controle ✓ Histórico: 1ª edição de 2005. Segunda edição atual: 2013 ✓ É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode ser também consultada de forma independente com fins de adoção das boas práticas. ✓ Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a GSI em uma organização. ✓ Principais seções: PSI, Gestão de Ativos, RH, Física, Comunicações, Controle de Acesso, Gestão da continuidade do negócio, Gestão da continuidade do negócio, Compliance 3.1 – Normas de Segurança ISO/IEC
  • 8. 3.1 – Normas de Segurança ISO/IEC Estrutu- ra da ISO/IEC 27002: 2013
  • 9. “HINTZBERGEN (2018) afirma que “A ISO/IEC 27002 : 2013 estabelece que as políticas de segurança da informação devem ser revisadas em intervalos planejados ou se ocorrerem mudanças significativas, a fim de assegurar sua contínua conformidade.”
  • 10. ISO/IEC 27003:2017: guia de implementação ✓ Histórico: 1ª edição de 2010; ➢ Segunda edição atual: 2017; ✓ Dispõe sobre diretrizes para implantação de um SGSI; ✓ Uma vez que a 27001 apresenta uma linguagem mais formal e teórica, a 27003 a complementa com direcionamentos práticos de implementação e explicações; ➢ Foi escrita em cima da mesma estrutura de 27001, expandindo cada tópico e abordando as implicações práticas de cada item. 3.1 – Normas de Segurança ISO/IEC
  • 11. ISO/IEC 27004:2016: monitoração, medida, análise e avaliação ✓ Histórico: 1ª edição de 2009, segunda edição atual: 2016; ✓ Define métricas de medição para a gestão da S.I., conhecidas como métricas de segurança; ✓ Auxilia as empresas a avaliar a eficácia e eficiência das outras normas e melhorar a gestão sistematicamente; ✓ Pode ser uma importante aliada no momento de definir as metas de níveis de serviço, expandindo o item 9.1 da 27001. 3.1 – Normas de Segurança ISO/IEC
  • 12. ISO/IEC 27005:2018: Gestão de Riscos da S.I. ✓ Histórico: 1ª ed. 2008, 2ª ed. 2011, 3ª. edição atual: 2018; ✓ Grande parte do escopo da ISO 27005 pode ser interpretada como a sessão 4 da norma ISO 27001: Riscos; ✓ A 27005 apresenta vários conceitos importantes, tais como: ➢ Risco: é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização; ➢ Medida de risco: é a combinação da probabilidade de um evento indesejável e a sua consequência; 3.1 – Normas Segurança ISO/IEC
  • 13. 3.1 – Normas de Segurança ISO/IEC ISO/IEC 27005:2018: Gestão de Riscos da S.I.
  • 14. ISO/IEC 27006:2015: Auditoria em SGSI ✓ Histórico: 1ª ed. 2007 ➢2ª ed. 2011 (baseada na ISO 17021) ➢3ª. edição atual: 2015 (baseada na ISO 19011) ✓ Define requisitos para organizações que prestam serviços de auditoria e certificação de sistemas de gestão de segurança da informação, com base na ISO 27001, 17021 e 19011 ✓ ISO 27007:2017 e 27008:2019 -> complementam a 27006 especificando requisitos e procedimentos para um auditor certificar determinado sistema de segurança,; 3.1 – Normas de Segurança ISO/IEC
  • 15. ISO/IEC 27009:2016: Indústrias específicas ✓ Requisitos adicionais para implantação da 27001 em setores (campos, aplicações e mercados) específicos; ISO/IEC 27010:2015: Comunicação intra-setores e intra- organizacionais (segunda edição 2015, a 1ª foi em 2012) ✓ Guia para a comunicação em GSI no escopo da organização e fora dela (sobretudo para entre empresas do mesmo setor). ✓ O objetivo é prover auxílio para quem deseja evoluir com as práticas através de contatos e network entre partes de um mesmo segmento de mercado que buscam aprimorar a GSI; 3.1 – Normas de Segurança ISO/IEC
  • 16. ISO/IEC 27011:2016: Telecomunicações ✓ Desenvolvida em conjunto com o ITU-T (Setor de Normatização das Telecomunicações), replicada para a norma ITU-T X.1051; ISO/IEC 27012: Governo ✓ Foi proposta para gestão da segurança da informação em organizações da administração pública, mas foi cancelada; ISO/IEC 27013:2015: Gestão de Serviços em TI ✓ Implementação integrada da 27001 com a ISO/IEC 20000- 1:2011 (ITIL), coordenando atividades multidisciplinares; 3.1 – Normas de Segurança ISO/IEC
  • 17. ISO/IEC 27014:2013: Governança de S.I. ✓ Especifica como avaliar, dirigir, controlar e comunicar todas as práticas internas da empresa relacionadas a segurança da informação, de forma que sejam compreendidas e estejam alinhadas com necessidades das áreas de negócio; ✓ Também desenvolvida em conjunto com o ITU-T e replicada para a norma ITU-T X.1054; ISO/IEC 27015: Setor financeiro ✓ Foi proposta para aborda a gestão da segurança da informação para serviços financeiros, mas foi cancelada; 3.1 – Normas de Segurança ISO/IEC
  • 18. ISO/IEC 27016:2014: Setor Econômico ISO/IEC 27017:2015: Computação em Nuvem ✓ Implementação de controles de segurança de informações específicas da nuvem que complementam a orientação das normas ISO/IEC 27002 e ISO/IEC 27001. ✓ Disponibiliza instruções de implementação de controles adicionais de segurança da informação específicos para provedores de serviços de nuvem; ✓ Provedores buscam estar conformes, ex.: AWS: https://aws.amazon.com/pt/compliance/iso-27017-faqs/ 3.1 – Normas de Segurança ISO/IEC
  • 19. ISO/IEC 27018:2019: Informações de Identificação Pessoal (PII) para computação em nuvem ✓ 1ª edição de 2014. 2ª. edição atual de 2019; ✓ Complementar à ISO 27017; ✓ Baseada na ISO 27002, ISO 17788 “Computação em nuvem – Visão Geral e Vocabulário” e ISO/IEC 29100 “framework de privacidade”; ✓ Suporte global de padrões internacionais como CSA (Cloud Security Alliance). Base para a GDPR e outras leis de proteção de dados pessoais; 3.1 – Normas de Segurança ISO/IEC
  • 20. ISO/IEC 27019:2017: Indústria de Energia ✓ Segurança para automação: PLC (Programmable Logic Controllers), IIOT (Industrial Internet of Things), ICS (Industrial Control Systems) and SCADA (Supervisory Control And Data Acquisition) ISO/IEC 27031:2011: TIC ✓ Guia de princípios/conceitos por trás do papel da segurança da informação para TIC (Tecnologia da Informação e Comunicações) para garantir a continuidade dos negócios. 3.1 – Normas de Segurança ISO/IEC
  • 21. ISO/IEC 27032:2012: Cybersegurança ✓ Está em sua definição a preservação da confidencialidade, integridade e disponibilidade da informação no "Cyberspace": crimes na internet, guerras cibernéticas e nos ambientes da internet ISO/IEC 27033: Segurança de Redes ✓ Derivada da ISO/IEC 18028, segmentada em 6 partes: introdução e conceitos (27033-1:2015), planejamento, técnicas de projetos, gateways, VPNs e wireless 3.1 – Normas de Segurança ISO/IEC
  • 22. ISO/IEC 27034: Segurança em Aplicações ✓ Alinhada com a ISO 31000, segmentada em 7 partes: introdução e conceitos (27034-1:2011), normativas, guia para o processo de gestão, validação de requisitos, protocolos e estrutura de dados de controle, estudo de casos e framework de seguro preditivo ISO/IEC 27037:2016: Análise Forense ✓ Orientações para a identificação, coleta, aquisição e preservação de evidências forenses digitais. 3.1 – Normas de Segurança ISO/IEC
  • 23. ISO/IEC 27039:2015: IDS (Intrusion Detection Systems) ✓ Um guia para seleção, contratação, desenho, operação e administração de sistemas IDS. ISO/IEC 27040:2015: Storage ✓ Aspectos de segurança da informação para sistemas e Infraestrutura de storage: IP SAN, NAS e CAS ISO/IEC 27102:2019: Seguro cibernético ✓ Escopo de seguros profissionais, custo/benefício, vantagens e desvantagens e oportunidades. 3.1 – Normas de Segurança ISO/IEC
  • 24. ISO/IEC 27701:2019: Privacidade ✓ Especifica os requisitos e fornece a orientação para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações sobre Privacidade ✓ Inclui mapeamento para: o quadro e os princípios de privacidade definidos na norma ISO/IEC 29100; ISO/IEC 27018; ISO/IEC 29151; e o Regulamento Geral de Proteção de Dados da UE (GDPR) 3.1 – Normas de Segurança ISO/IEC
  • 25. • HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport: 2018. • Portal GSTI: https://www.portalgsti.com.br/ • ISO27K Information Security: https://www.iso27001security.com/ BIBLIOGRAFIA
  • 26. ATIVIDADE 10 Em sala ISO 27001:2013 e 27002:2013 a) Em grupos de até 5 pessoas b) Responder em uma folha e entregar ao professor até o final da aula. 1. Verificar as normas 27001 e 27002 publicadas no Classroom buscando por tópicos relevantes no entendimento do grupo. Preparar então algumas diretrizes/procedimentos de segurança da informação para sua empresa referenciando o capítulo escolhido da norma. 2. Mínimo: 1 página.