Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Transcrição

1 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009

2 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO e ABNT:ISO Visão geral da Norma ABNT:ISO Visão geral da Norma ABNT:ISO Objetivos de controle Implementação das normas Processo de Certificação na ISO de janeiro de

3 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO e ABNT:ISO Visão geral da Norma ABNT:ISO Visão geral da Norma ABNT:ISO Objetivos de controle Implementação das normas Processo de Certificação na ISO de janeiro de

4 O que é informação? Ativo que, como todo ativo importante do negócio, tem valor para a organização e necessita ser devidamente protegido ABNT NBR ISO/IEC 17799: de janeiro de

5 Tipos de Informação Falada Armazenada (meios eletrônicos ou não) Emitida (procedimento) Fotografada Lida, escrita, impressa Transmitida Filmada, etc Não importa a forma que a informação tome, ou os meios pelos quais é compartilhada ou armazenada, convém que seja sempre apropriadamente protegida. ABNT NBR ISO/IEC 17799: de janeiro de

6 Ameaças, Vulnerabilidades e Riscos Ameaça Identificação e avaliação da possibilidade de eventos acidentais ou não desejados impactarem a infra estrutura de TI. Variam em severidade. Vulnerabilidade Fatores que tornam a infra estrutura de TI suscetível à ameaças. Risco Probabilidade da ocorrência da exploração de uma vulnerabilidade por uma ameaça. Variam em probabilidade e tem grau de perda. 16 de janeiro de

7 Ameaças à Seg. Informação Pessoas (funcionários, visitantes) Redes crescentes de computação s Baixa consciência sobre questões de segurança Complexidade crescente da eficácia de hackers e vírus Falta ou negligência de políticas de segurança Sistemas falhos de gestão de segurança Fogo, inundações, terremotos, Al Qaeda etc 16 de janeiro de

8 Elementos Centrais da SI Informação acessível somente a aqueles autorizados para tal Exatidão da informação, manipulação só para os autorizados para tal Assegura o acesso à informação e recursos quando requeridos 16 de janeiro de

9 Como assegurar a informação? Implementando um grupo adequado de controles: Políticas de segurança Práticas Procedimentos Estrutura organizacional Softwares adequados ABNT ISO/IEC 17799: de janeiro de

10 Sistema de Gestão de SI (SGSI) Estrutura para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a SI. ABNT ISO/IEC 27001:2006 O monitorado é medido, e o que é medido é gerenciado. 16 de janeiro de

11 Elementos de um SGSI Baseado no modelo PDCA Políticas (demonstração de compromissos e princípios) Planejamento (identificação das necessidades, recursos, estrutura, responsabilidades) Implementação e operação (incluindo treinamento) Medição (não-conformidades, testes) Melhoria (ações corretivas e preventivas, melhoria contínua) Revisão 16 de janeiro de

12 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO e ABNT:ISO Visão geral da Norma ABNT:ISO Visão geral da Norma ABNT:ISO Objetivos de controle Implementação das normas Processo de Certificação na ISO de janeiro de

13 Normas de Segurança ABNT ISO/IEC 27001:2006 Requisitos dos Sistemas de Gestão de Segurança da Informação (SGSI) ABNT ISO/IEC 17799:2005 Código de Prática para Gestão da Segurança da Informação 16 de janeiro de

14 ISO 27001, ISO Metodologia Estruturada, reconhecida internacionalmente para garantir a SI Processo definido para validar, implementar, manter e gerenciar a SI Grupo abrangente de controles detalhados referente às melhores práticas na segurança da Informação Cobrem aspectos técnico e gerencial Gerais: não são direcionadas a produtos ou tecnologia Desenvolvidas por empresas, para empresas 16 de janeiro de

15 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO e ABNT:ISO Visão geral da Norma ABNT:ISO Visão geral da Norma ABNT:ISO Objetivos de controle Implementação das normas Processo de Certificação na ISO de janeiro de

16 ABNT ISO/IEC 27001:2006 Baseada na BS :2002 Provê um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI Especifica exigências para controles de segurança a serem implementados de acordo com as necessidades individuais da organização Contém 11 seções de controle, 39 objetivos de controle e 133 controles 16 de janeiro de

17 Layout da ISO Introdução 1 Escopo 2 Referências Normativas 3 Termos e Definições 4 Sistema de Gestão de Segurança da Informação 5 Responsabilidade da Direção 6 Auditorias Internas do SGSI 7 Revisão Estratégica do SGSI 8 Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Princípios da OECD e sua relação com esta norma Anexo C Correspondências entre ISO 9001:2000, ISO 14001:2004 e esta norma Bibliografia 16 de janeiro de

18 Benefícios da Oportunidade de identificar e corrigir fraquezas Comprometimento da Alta Direção: liderança no processo de segurança da Informação Revisão independente do próprio SGSI Reduzir a responsabilidade devido às políticas e procedimentos não implementados Segurança aos órgãos parceiros/cidadãos Melhor conscientização da segurança Recursos combinados com outros sistemas de Gestão Mecanismos para medir o sucesso do sistema 16 de janeiro de

19 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO e ABNT:ISO Visão geral da Norma ABNT:ISO Visão geral da Norma ABNT:ISO Objetivos de controle Implementação das normas Processo de Certificação na ISO de janeiro de

20 ABNT ISO/IEC 17799:2005 Baseada na BS :1999 Referência normativa obrigatória para a ISO Pretendida para o uso como um documento de referência Apresenta um conjunto detalhado de controles de segurança Baseada nas melhores práticas da segurança da Informação Constituída de 11 seções de controle, 39 objetivos de controle e 133 controles Não é objeto de certificação ou auditoria, apenas um guia de melhores práticas 16 de janeiro de

21 Layout da ISO Introdução 1 Escopo 2 Termos e Definições 3 Estrutura da Norma 4 Análise/Avaliação e Tratamento de Riscos Cláusulas 5 a 15: Objetivos de controle e controles Bibliografia Índice 16 de janeiro de

22 A série ISO/IEC Princípios e vocabulários ISO/IEC SGSI: Requisitos ISO/IEC Renomeação da ISO/IEC (abril/2007) ISO/IEC Guia de Implementação de SGSI ISO/IEC Métricas e medições para a Gestão da Segurança da Informação em desenvolvimento (2008) ISO/IEC Gestão de Risco para SGSI 16 de janeiro de

23 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO e ABNT:ISO Visão geral da Norma ABNT:ISO Visão geral da Norma ABNT:ISO Objetivos de controle Implementação das normas Processo de Certificação na ISO de janeiro de

24 Objetivos de Controle 11 Seções de objetivos de Controle, cada uma com seus objetivos de controle e a descrição dos controles respectivos 16 de janeiro de

25 Objetivos de Controle Exemplo 1 16 de janeiro de

26 Objetivos de Controle Exemplo 2 16 de janeiro de

27 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO e ABNT:ISO Visão geral da Norma ABNT:ISO Visão geral da Norma ABNT:ISO Objetivos de controle Implementação das normas Processo de Certificação na ISO de janeiro de

28 Implementação da 27001(1) 16 de janeiro de

29 Implementação da 27001(2) 16 de janeiro de

30 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO e ABNT:ISO Visão geral da Norma ABNT:ISO Visão geral da Norma ABNT:ISO Objetivos de controle Implementação das normas Processo de Certificação na ISO de janeiro de

31 Certificação em Sob Conclusão bem sucedida Contínua (a cada 6 meses) Re-auditoria (a cada 3 anos) 16 de janeiro de

32 Certificação Fatores Críticos de Sucesso A política de segurança deve refletir os objetivos de negócio Implementação consistente com a cultura da companhia Apoio e compromisso visíveis da alta direção Comunicação efetiva da segurança para todos os envolvidos Bom entendimento das exigências de segurança, avaliações e tratamento de riscos 16 de janeiro de

33 Certificação Fatores Críticos de Sucesso Divulgação e orientação da política de SI e normas para todos os servidores e membros e sub contratados Fornecer treinamento e educação apropriados Utilizar sistema de medição adequado para avaliação do desempenho da gestão de SI e identificação das oportunidades de melhoria 16 de janeiro de

34 Análise e Tratamento de Risco 16 de janeiro de

35 Desafios para o MPGO Análise abrangente de riscos de todos os serviços oferecidos Formalização do Comitê de Segurança com a alta administração Treinamento, comprometimento e adesão dos usuários às políticas de segurança Integração das áreas de TI com os objetivos de SI Treinamento técnico nas ferramentas de controle de segurança 16 de janeiro de

36 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO e ABNT:ISO Visão geral da Norma ABNT:ISO Visão geral da Norma ABNT:ISO Objetivos de controle Implementação das normas Processo de Certificação na ISO de janeiro de

37 Perguntas? 16 de janeiro de

38 Danke Schön! Ramon Gomes Brandão Seção de Segurança da Informação Depto. de Segurança e Adm. de Dados 16 de janeiro de