NBR ISO/IEC I. Políticas de segurança da informação. Organizando a Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos;

Transcrição

1 NBR ISO/IEC 2700 ISO/IEC 27000: Esta norma apresenta a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toada a família esta baseada e se integra. ISO/IEC 27001: Esta norma define os requisitos para implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização, permitindo que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes. ISO/IEC 27002: Estabelece um referencial para organizações desenvolverem, implementarem, avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Ela aborda 11 tópicos: I. Políticas de segurança da informação II. III. IV. Organizando a Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos; V. Segurança Física e do Ambiente; VI. VII. Gestão das Operações e Comunicações; Controle de Acesso;

2 1. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; IX. Informação; Gestão de Incidentes de Segurança da X. Gestão de Continuidade do Negócio; XI. Conformidade ISO/IEC 27003: (Sistema de Gestão de Segurança da informação com objetivos mais amplos que a norma ISO 27001, especificamente no que tange à melhoria do desempenho global de uma organização e sua eficiência, assim como sua eficácia). ISO/IEC 27004:Define métricas e medições para avaliar a eficácia de um SGSI. Fornece orientações para elaboração, tabulação e acompanhamento de indicados do sistema de gestão de segurança da informação, visando o acompanhamento dos objetivos de segurança previstos para o sistema de gestão por meio da medição da eficácia dos controles de segurança implementados e permitindo aos gestores avaliar se os controles alcançam de forma satisfatória os objetivos de controle planejados. ISO/IEC 27006: Guia para processo de acreditação de entidades certificadoras. ISO/IEC 27007: Orientações para Gestão de Auditoria de Sistemas de Segurança da Informação. Esta norma é baseada na ISO 91011, que apresenta diretrizes de auditoria para os sistemas de gestão de qualidade e/ou ambiental, deve orientar as auditorias de conformidades com a norma ISO ISO/IEC 27008: Sistema de Gestão de Segurança da informação Técnicas de Segurança Orientações para Auditores de

3 Segurança da Informação. Esta norma será um complemtnos da ISO e deve orientar os Auditores de Sistema de Segurança da Informação a realizar as auditorias dos controles em conformidade com a norma ISO Plan-Do-Check-Act Sistema de gestão de segurança da informação (SGSI) Para estabelecer um Sistema de gestão de segurança da informação documentado, baseado no modelo PDCA, e dentro do contexto das atividades de negócio da organização dos riscos que ela enfrenta, a organização deve: Plan (estabelecer o SGSI): O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia; A política do SGSI; A abordagem de análise/avaliação de risco da organização; Identificar os riscos; Identificar e avaliar as opções para o tratamento de riscos; Obter aprovação da direção para implementar e operar o SGSI; Preparar uma declaração de Aplicabilidade Do (Implementar e operar o SGSI) Nesta fase a organização deve implementar e operar a

4 política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, montar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI Check (monitorar e analisar criticamente o SGSI) A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedidas, e os incidente de segurança da informação. Os procedimentos de análise crítica da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados da medições e sugestões. ve ser realizado também a análise crítica as análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados. Act (Manter e melhorar o SGSI) A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. AV Gestão Segurança da

5 Informação AV GESTÃO DE SEGURANÇA DA INFORMAÇÃO Please wait while the activity loads. If this activity does not load, try refreshing your browser. Also, this page requires javascript. Please visit using a browser with javascript enabled. If loading fails, click here to try again Iniciar Parabéns - Você terminou AV GESTÃO DE SEGURANÇA DA INFORMAÇÃO. Você fez %%SCORE%% de %%TOTAL%%. Sua média é: %%RATING%% Your answers are highlighted below. A segurança da informação está relacionada com proteção dos ativos, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Defina com suas palavras o que é um Ativo para a Segurança das Informações: (1,5) Um ativo é qualquer coisa que tenha valor para a organização. A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI, explique a etapa Act do PDCA: (1,5) Act (Manter e melhorar o SGSI): A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.

6 30 Questões de Gestão de Segurança da Informação - de 1 a 10 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Please wait while the activity loads. If this activity does not load, try refreshing your browser. Also, this page requires javascript. Please visit using a browser with javascript enabled. If loading fails, click here to try again Iniciar Parabéns - Você terminou GESTÃO DE SEGURANÇA DA INFORMAÇÃO. Você fez %%SCORE%% de %%TOTAL%%. Sua média é: %%RATING%% Your answers are highlighted below.