MATC99 Segurança e Auditoria de Sistemas de Informação

Transcrição

1 MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO e 27002) Italo Valcy <italo@dcc.ufba.br> Italo Valcy Seg e Auditoria de SI,

2 Licença de uso e distribuição Este material foi baseado nas aulas do Prof Marcos Dosea / UFS, disponiveis em: Italo Valcy Seg e Auditoria de SI, / 27

3 Introdução BS :2002 >> ISO/IEC 27001:2005 Implantar um SGSI (Sistema de Gestão de Segurança da Informação) BS 7799:1995 >> ISO/IEC 17799:2000 >> ISO/IEC 27002:2005 Código de Práticas para Gestão de Segurança da Informação e 27003: Gestão de SI (Medição) e Guia de Impl. SGSI e 27007: Requisitos e diretrizes para Auditoria de um SGSI 15999:1 e 15999:2 Gestão de continuidade de negócios (código de pratica e requisitos) Italo Valcy Seg e Auditoria de SI, / 27

4 ISO/IEC Prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação. Avaliar a conformidade por partes interessadas internas e externas. Italo Valcy Seg e Auditoria de SI, / 27

5 Estrutura do modelo ISO Adota o ciclo PDCA (Plan-Do-Ckeck-Act) também conhecido como ciclo de Deming. Italo Valcy Seg e Auditoria de SI, / 27

6 Estrutura do modelo ISO Organização deve entender os requisitos de segurança e a necessidade de estabelecer uma política e objetivos de segurança da informação. Italo Valcy Seg e Auditoria de SI, / 27

7 Estrutura do modelo ISO Implementar e operar controles para gerenciar os riscos de segurança da informação. Italo Valcy Seg e Auditoria de SI, / 27

8 Estrutura do modelo ISO Monitorar e rever o desempenho e a eficácia do SGSI. Italo Valcy Seg e Auditoria de SI, / 27

9 Estrutura do modelo ISO Prover a melhoria contínua com base em medições objetivas. Italo Valcy Seg e Auditoria de SI, / 27

10 Norma ISO/IEC Introdução Objetivo Referencia normativa Termos e definições Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Anexos A (normativo objetivos de controle e controle 27002), B e C (informativos) Italo Valcy Seg e Auditoria de SI, / 27

11 SGSI A Organização deve definir a política para o SGSI, o escopo e os limites. Deve identificar, analisar e avaliar os riscos. Selecionar os objetivos de controle e os controles para o tratamento do risco. Formular e implementar um plano de tratamento de riscos que identifique ações gerenciais, recursos, responsabilidades e prioridades. Italo Valcy Seg e Auditoria de SI, / 27

12 SGSI Deve definir procedimentos de controle para medir a eficácia dos controles ou grupos de controle. Implementar programas de treinamento e de conscientização. Realizar revisões periódicas de eficácia do SGSI e rever os riscos residuais não tratados. Conduzir auditorias internas do SGSI em intervalos planejados. Italo Valcy Seg e Auditoria de SI, / 27

13 SGSI Atualizar os planos de segurança, levando em consideração os resultados do monitoramento. Tomar ações corretivas e preventivas comunicando-as aos interessados. Italo Valcy Seg e Auditoria de SI, / 27

14 NBR ISO/IEC Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, / 27

15 Responsabilidade da administração Deve estabelecer a política para o SGSI Assegurar que os objetivos e planos foram estabelecidos. Estabelecer papéis e responsabilidades. Comunicar a organização acerca da importância de atender os objetivos e políticas. Italo Valcy Seg e Auditoria de SI, / 27

16 Responsabilidade da administração Prover recursos suficientes para implementar, operar, monitorar, rever, manter e melhorar o SGSI. Garantir a competência do pessoal para desempenhar as atividades requeridas. Italo Valcy Seg e Auditoria de SI, / 27

17 NBR ISO/IEC Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, / 27

18 Auditorias Internas Conformidade com requisitos da norma e demais requisitos legais e regulatórios. Conformidade com requisitos de segurança da informação identificados. Estão implementados e mantidos de forma efetiva. Estão sendo desempenhados como esperado. Italo Valcy Seg e Auditoria de SI, / 27

19 NBR ISO/IEC Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, / 27

20 Revisão do SGSI pela Administração Deve revisar o SGSI pelo menos uma vez por ano, para assegurar sua contínua adequação e eficácia. Deve considerar: resultado das auditorias Feedback das partes interessadas Status das ações corretivas e preventivas Vulnerabilidades e ameaças não tratadas Mudanças nos requisitos e recomendações de melhoria. Italo Valcy Seg e Auditoria de SI, / 27

21 NBR ISO/IEC Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, / 27

22 A melhoria do SGSI A melhoria contínua da eficácia do SGSI deve ser realizada através do uso: Política de Segurança da Informação Objetivos de Segurança da Informação Resultados de Auditoria Análise de Eventos Monitorados Ações Corretivas e Preventivas Revisões gerenciais. Italo Valcy Seg e Auditoria de SI, / 27

23 ISO/IEC Italo Valcy Seg e Auditoria de SI, / 27

24 Estrutura da norma Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física do Ambiente Gestão das Operações e Comunicações Controle de Acesso Aquisição, Desenvolvimento e Manutenção de Sistemas. Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Conformidade. Italo Valcy Seg e Auditoria de SI, / 27

25 Política de Segurança da Informação É a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. Italo Valcy Seg e Auditoria de SI, / 27

26 Política de Segurança da Informação Orientar, por meio de suas diretrizes, todas as ações de segurança, para redução de riscos e garantir a integridade, sigilo e disponibilidade das informações dos sistemas de informação e recursos; Permitir a adoção de soluções de segurança integradas; Servir de referência para auditoria, apuração e avaliação de responsabilidades Italo Valcy Seg e Auditoria de SI, / 27

27 Exercício Pesquisar 3 políticas de segurança de instituições diferentes: Verificar pontos comuns Verificar escopo de abrangência de cada um Verificar pontos de divergência Italo Valcy Seg e Auditoria de SI, / 27