Principais tópicos da norma NBR ISO/IEC 27001:2006

Transcrição

1 FACULDADE DE TECNOLOGIA DO IPIRANGA CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS TIAGO GREGÓRIO DA SILVA Principais tópicos da norma NBR ISO/IEC 27001:2006 SÃO PAULO 2013

2 Índice 1 Introdução Assunto da norma Objetivos e aplicabilidade da norma Estabelecimento, implantação, monitoramento e melhoria contínua do SGSI Controles de documentos e registros Responsabilidades da organização e da empresa... 5 Considerações finais... 6 Referência bibliográfica... 6

3 1 Introdução Este trabalho abordará a Norma NBR ISO/IEC 27001:2006, que consiste na tradução idêntica da norma ISSO/IEC 27001:2005. Este documento fornece um conjunto de requisitos necessários ao estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI), que pode ser desenvolvido por organizações que desejam realizar a gestão de suas informações de acordo com a gestão de riscos de negócio. A norma está dividida em oito seções e três anexos, que são: 0 Introdução; 1 Objetivo; 2 Referência normativa; 3 Termos e definições; 4 - Sistema de gestão de segurança da informação; 5 Responsabilidades da direção; 6 Auditorias internas do SGSI; 7 Análise crítica do SGSI pela direção; 8 Melhoria do SGSI; Anexo A Objetivos de controle e controles; Anexo B Princípios da OECD (Organisation For Economic Co-Operation and Development) e desta Norma; Anexo C Correspondência entre a ABNT ISO 9001:2000, a ABNT ISO 14001:2004 e esta Norma. Este trabalho se aterá apenas aos tópicos mais relevantes da norma.

4 2 Assunto da norma Na introdução, a norma propõe um modelo de gestão da informação que engloba ações de estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria contínua de um SGSI, cuja adoção pelas organizações deve ser pautada por suas necessidades, objetivos, requisitos de segurança e processos envolvidos, bem como seu tamanho e estrutura. Para a adoção do modelo, a organização precisa identificar seus processos e disseminar o entendimento da necessidade de estabelecimento de políticas, objetivos e gerenciamento dos riscos de segurança da informação. Nesta direção, a norma adota o modelo PDCA (Plan-Do-Check-Act), que serve para ordenar os processos do SGSI, aglutinando os requisitos de segurança da informação, expectativa dos stakeholders, ações necessárias e processos de segurança da informação, possibilitando avaliação e melhoria contínua dos processos e a solução de problemas organizacionais relativos à informação. 3 Objetivos e aplicabilidade da norma A norma propaga a aplicabilidade do modelo a qualquer espécie de organização, contemplando o meio público, privado e o terceiro setor. Assim como na introdução, diz que fornece requisitos genéricos para estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria contínua de um SGSI, levando em consideração os riscos e as necessidades de cada atividade. Para se considerar adequada a norma, a organização não pode suprimir qualquer um dos requisitos elencados nas seções 4 a 8, alvo com justificativas e fornecimento de comprovação de que os riscos inerentes foram aceitos pelas pessoas responsáveis. Ainda, as exclusões não podem de forma alguma interferir na capacidade da organização em prover segurança as suas informações, observadas as regulamentações legais. 4 Estabelecimento, implantação, monitoramento e melhoria contínua do SGSI O estabelecimento é a fase onde a empresa se organiza para a adoção do SGSI, seguindo estritamente os passos do PDCA. É aqui que se define o escopo, abrangência,

5 políticas e métodos de análise de avaliação, identificação, análise e avaliação de riscos. São identificadas e avaliadas também as opções para tratar os riscos identificados. É imprescindível, em todas as fases, o apoio e comprometimento da alta direção. Após o estabelecimento, o SGSI entra em operação, atribuindo papéis e responsabilidades, implementando um plano de tratamento de riscos e definindo como medir a eficácia dos controles, que servirão para indicar o alcance dos objetivos propostos. É fundamental que a política seja propagada por intermédio de treinamento e conscientização daqueles que lidam com informações. Além disso, devem ser desenvolvidos mecanismos que detectem e respondam a eventos e incidentes de segurança da informação. Em seguida, o SGSI deve ser avaliado e melhorado continuamente, por meio de métricas, auditorias internas e externas, ameaças internas e externas, verificação de novas necessidades, incorporação de novas tecnologias e mudanças no aspecto legal. 5 Controles de documentos e registros A documentação do SGSI compreende a política, objetivos, procedimentos documentados e controles, inclusive os relacionados aos processos de segurança da informação. Além disso, qualquer espécie de ferramenta adotada para avaliação e tratamento de riscos, relatórios decorrentes destas avaliações, controles de acesso, eventos monitorados devem ser registradas. Um procedimento para criação, utilização, atualização, versionamento e descarte de documentos deve ser desenvolvido, mitigando os riscos relativos ao uso de documentos não oficiais, não divulgados ou desatualizados. 6 Responsabilidades da organização e da empresa A alta direção deve estar alinhada e comprometida com todas as dimensões da adoção do SGSI, desde o planejamento até o seu refinamento contínuo, passando pela garantia de provimento de recursos financeiros, materiais e humanos para o sucesso e perenidade da política. Ainda estão no bojo de responsabilidades da alta direção a garantia de realização de auditorias, de análises críticas que indiquem fragilidades e possibilidades de melhoria, bem como planos de ações corretivas e preventivas.

6 Considerações finais A adoção de um padrão reconhecido internacionalmente é sempre sinal de compromisso e seriedade na condução das várias dimensões que compõem as organizações. Esta norma, em especial, é de relevância ímpar por se tratar de algo imprescindível: a informação, cujo acesso na qualidade, tempo e por pessoas certas são fundamentais para a continuidade dos negócios. Além disso, certificar-se nesta norma, principalmente para empresas de comércio e serviços, constitui-se em atestado de seriedade no tocante a gestão da segurança da informação, agregando valor ao negócio e mostrando ao mundo que seus processos de gestão da informação são confiáveis. Referência bibliográfica ABNT Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos. Disponível em: < IEC pdf>. Acesso em: 15/03/2012.