Gestão da Segurança da Informação

Transcrição

1 Gestão da Segurança da Informação Família de Normas Professor: Jósis Alves

2 Siglas ISO - International Organization for Standardization IEC - International Electrotechnical Commission ABNT - Associação Brasileira de Normas Técnicas NBR - Norma Brasileira SI - Segurança da Informação SGSI - Sistema de Gerenciamento de Segurança da Informação

3 Bibliografia - Família ABNT NBR ISO/IEC 27000: Visão geral e vocabulário SGSI e referência as normas da família ABNT NBR ISO/IEC 27001: Especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI. ABNT NBR ISO/IEC 27002: Práticas para a gestão de SI.

4 Bibliografia - Família ABNT NBR ISO/IEC 27003:2011 (Corrigida 2015) - Diretrizes para a implantação de um SGSI. - A norma descreve o processo de especificação e projeto do SGSI desde a concepção até a elaboração dos planos de implantação. - Ela descreve o processo de obter a aprovação da direção para implementar o SGSI.

5 Bibliografia - Família ABNT NBR ISO/IEC 27004: Monitoramento, medição, análise e avaliação. ABNT NBR ISO/IEC 27005: Gestão de riscos de segurança da informação (Diretrizes). ABNT NBR ISO/IEC 27006: Requisitos para empresas de auditoria e certificação de SGSI. ABNT NBR ISO/IEC 27007: Diretrizes para auditoria de SGSI.

6 Ano: 2017 Banca: CS-UFG Órgão: IF-GO Prova: Administrador 1) As normas da família ISO/IEC convergem para o Sistema de Gestão de Segurança da Informação (SGSI). Elas são relacionadas à segurança de dados digitais ou sistemas de armazenamento eletrônico. O conceito de segurança da informação possui quatro atributos básicos: confidencialidade, integridade, disponibilidade e autenticidade. As normas do grupo mais conhecidas são bases para a implementação de um SGSI em uma organização e Diretrizes para o processo de gestão de riscos de segurança da informação, que são, respectivamente: a) ISO e b) ISO e c) ISO e d) ISO e 27009

7 Norma ISO 27001:2013 O que é? Norma que provê REQUISITOS para estabelecer, implementar, manter e melhorar continuamente um SGSI. A adoção de SGSI é uma decisão estratégica para organização. O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho e estrutura da organização.

8 Norma ISO 27001:2013 Para que serve? Um SGSI preserva as propriedades da segurança da informação: Confidencialidade, Integridade e Disponibilidade (CID) das informações. Através da aplicação de um processo de gestão de riscos. O que fornece confiança as partes interessadas, pois os riscos estão sendo gerenciados adequadamente.

9 Norma ISO 27001:2013 Confidencialidade Integridade Disponibilidade

10 Norma ISO 27001:2013 A norma pode ser usada por partes internas e externas, no que diz respeito ao atendimento dos requisitos de SI. A norma também contempla os requisitos para avaliação e tratamento de riscos de segurança da informação. Apresenta requisitos genéricos. São aplicáveis a TODAS as organizações, independente do tipo, tamanho ou natureza.

11 Ano: 2015 Banca: IESES Órgão: MSGás Prova: Analista de Tecnologia da Informação 2) A norma que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização é a: a) ABNT NBR ISO/IEC 27004:2010. b) ABNT NBR ISO/IEC 27001:2013. c) ABNT NBR ISO/IEC 27003:2011. d) ABNT NBR ISO/IEC 27002:2013.

12 Ano: 2015 Banca: CESPE Órgão: MEC Prova: Gerente de Segurança 3) Acerca da NBR ISO/IEC 27001:2013 e de sua aplicabilidade no sistema de gestão da segurança da informação (SGSI), julgue o item que se segue. A adoção de um SGSI prescinde do cunho estratégico, pois é vista como uma decisão tática e operacional da organização. ( ) Certo ( ) Errado

13 Ano: 2015 Banca: CESPE Órgão: TCU Prova: Auditor Federal de Controle Externo - Tecnologia da Informação 4) De acordo com a NBR ISO/IEC 27001:2013, a organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação (SGSI). A esse respeito, julgue o item subsequente. Na especificação e na implementação do SGSI, devem-se considerar as necessidades, os objetivos e os requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua estrutura. ( ) Certo ( ) Errado

14 Norma ISO 27001:2013 Anexo A - preconiza os controles e objetivos de controle, alinhados com a Norma ABNT NBR ISO/IEC 27002:2013, que deverão ser aplicados na organização.

15 GABARITO 1 - A 2 - B 3 - Errado 4 - Errado