Segurança da Informação ISO/IEC ISO/IEC 27002

Transcrição

1 Segurança da Informação ISO/IEC ISO/IEC 27002

2 ISO/IEC Prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação. Avaliar a conformidade por partes interessadas internas e externas.

3 Estrutura do Modelo ISO/IEC Adota o ciclo PDCA (Plan-Do-Ckeck-Act) também conhecido como ciclo de Deming.

4 Estrutura do Modelo ISO/IEC Organização deve entender os requisitos de segurança e a necessidade de estabelecer uma política e objetivos de segurança da informação.

5 Estrutura do Modelo ISO/IEC Implementar e operar controles para gerenciar os riscos de segurança da informação.

6 Estrutura do Modelo ISO/IEC Monitorar e rever o desempenho e a eficácia do SGSI.

7 Estrutura do Modelo ISO/IEC Prover a melhoria contínua com base em medições objetivas.

8 Norma ISO/IEC Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI

9 Sistema de Gestão da Segurança da Informação (SGSI) A Organização deve definir a política para o SGSI, o escopo e os limites. Deve identificar, analisar e avaliar os riscos. Selecionar os objetivos de controle e os controles para o tratamento do risco. Formular e implementar um plano de tratamento de riscos que identifique ações gerenciais, recursos, responsabilidades e prioridades.

10 Sistema de Gestão da Segurança da Informação (SGSI) Deve definir procedimentos de controle para medir a eficácia dos controles ou grupos de controle. Implementar programas de treinamento e de conscientização. Realizar revisões periódicas de eficácia do SGSI e rever os riscos residuais não tratados. Conduzir auditorias internas do SGSI em intervalos planejados.

11 Sistema de Gestão da Segurança da Informação (SGSI) Atualizar os planos de segurança, levando em consideração os resultados do monitoramento. Tomar ações corretivas e preventivas comunicando-as aos interessados.

12 Norma ISO/IEC Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI

13 Responsabilidade da Administração Deve estabelecer a política para o SGSI Assegurar que os objetivos e planos foram estabelecidos. Estabelecer papéis e responsabilidades. Comunicar a organização acerca da importância de atender os objetivos e políticas.

14 Responsabilidade da Administração Prover recursos suficientes para implementar, operar, monitorar, rever, manter e melhorar o SGSI. Garantir a competência do pessoal para desempenhar as atividades requeridas.

15 Norma ISO/IEC Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI

16 Auditorias Internas Conformidade com requisitos da norma e demais requisitos legais e regulatórios. Conformidade com requisitos de segurança da informação identificados. Estão implementados e mantidos de forma efetiva. Estão sendo desempenhados como esperado.

17 Norma ISO/IEC Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI

18 Revisão do SGSI pela Administração Deve revisar o SGSI pelo menos uma vez por ano, para assegurar sua contínua adequação e eficácia. Deve considerar: resultado das auditorias Feedback das partes interessadas Status das ações corretivas e preventivas Vulnerabilidades e ameaças não tratadas Mudanças nos requisitos e recomendações de melhoria.

19 Norma ISO/IEC Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI

20 A Melhoria do SGSI A melhoria contínua da eficácia do SGSI deve ser realizada através do uso: Política de Segurança da Informação Objetivos de Segurança da Informação Resultados de Auditoria Análise de Eventos Monitorados Ações Corretivas e Preventivas Revisões gerenciais.

21 ISO's BS :2002 >> ISO/IEC 27001:2005 Implantar um SGSI (Sistema de Gestão de Segurança da Informação) BS 7799:1995 >> ISO/IEC 17799:2000 >> ISO/IEC 27002:2005 Código de Práticas para Gestão de Segurança da Informação. Critérios de Avaliação e Esquema para Certificação

22 ISO/IEC Estabelece diretrizes e princípios gerais para iniciar, manter e melhorar a gestão de segurança da informação. Serve como um guia prático para desenvolver os procedimentos de segurança da informação e práticas eficientes de gestão da segurança.

23 Conformidade. Estrutura do Modelo ISO/IEC Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física do Ambiente Gestão das Operações e Comunicações Controle de Acesso Aquisição, Desenvolvimento e Manutenção de Sistemas. Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio

24 Conformidade. Estrutura do Modelo ISO/IEC Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física do Ambiente Gestão das Operações e Comunicações Controle de Acesso Aquisição, Desenvolvimento e Manutenção de Sistemas. Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio

25 Conformidade. Estrutura do Modelo ISO/IEC Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física do Ambiente Gestão das Operações e Comunicações Controle de Acesso Aquisição, Desenvolvimento e Manutenção de Sistemas. Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio

26 Política de Segurança da Informação É a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa.

27 Política de Segurança da Informação Orientar, por meio de suas diretrizes, todas as ações de segurança, para redução de riscos e garantir a integridade, sigilo e disponibilidade das informações dos sistemas de informação e recursos; Permitir a adoção de soluções de segurança integradas; Servir de referência para auditoria, apuração e avaliação de responsabilidades