UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012
NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC 27002.
AS NORMAS DA FAMÍLIA 27000 ISO 27000 Vocabulários a serem utilizados pelas restantes normas. ISO 27001 Define requisitos para a implementação de um SGSI. ISS 27002 Antiga ISO 17799. Define boas práticas para a Gestão de Segurança da Informação. ISO 27003 É um guia para a implementação de um SGSI.
AS NORMAS DA FAMÍLIA 27000 ISO 27004 Define métricas e meios de medição para avaliar a eficácia de um SGSI. ISS 27005 Antiga BS 7799-3. Define linhas de orientação para a gestão de risco da Segurança da Informação. ISO 27006 Esta norma especifica requisitos e fornece orientações para os organismos que prestem serviços de auditoria e certificação de um sistema de gestão da segurança da informação.
PROCESSOS A ISO 27001:2006 promove a adoção de uma estratégia de processo para estabelecer e implementar, operar, monitorar, revisar, manter e melhorar o SGSI de uma organização. É a evolução natural da norma BS7799:2002, um padrão britânico que trata da definição de requisitos para um Sistema Gestão de Segurança da Informação. O padrão foi incorporado pela The international Organization for Standardization (ISSO), Instituição Internacional, com sede na Suíca, que cuida do estabelecimento de padrões internacionais de certificação em diversas áreas.
PROCESSOS O Reino Unido tem sido o grande promotor nesta área, pela tradiçao que tem tido, em atividades de padronização, desde a Revolução industrial. Qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformação de entradas em saídas pode ser considerada um processo. É usual que a saída de um processo forma diretamente a entrada do processo seguinte. A aplicação de um sistema de processos dentro de uma organização, junto com a identificação e interações destes processos, e sua gestão, pode ser chamada de "estratégia de processo.
PROCESSOS A estratégia de processo para a gestão da Segurança da Informação e comunicação apresentada nesta Norma encoraja que seus usuários enfatizem a importância de: Entendimento dos requisitos de Segurança da Informação e Comunicação de uma organização e da necessidade de estabelecer uma política e objetivos para a Segurança da Informação e Comunicação; Implementação e operação de controles para gerenciar os riscos de Segurança da Informação e Comunicação de uma organização no contexto dos riscos de negócio globais da organização; Monitoração e revisão do desempenho e efetividade do SGSI; e,
PROCESSOS Melhoria contínua baseada em medidas objetivas.
PROCESSOS A ISO 27001:2006 adota o modelo Plan-Do-Check-Act (PDCA), que reflete os princípios definidos para governar a segurança de sistemas de informação e redes. Esta norma prevê um modelo robusto para implementar os princípios para direcionar a análise e avalição de riscos, especificação e implementação da segurança, gerenciamento de segurança e reavaliação.
PROCESSOS (Modelo do PDCA aplicado ao SGSI) Plan(Planejar) (estabelecer o SGSI) Do (Fazer) (implementar e operar o SGSI) Check(Checar) (monitorar e revisar o SGSI) Act(Agir) (manter e melhorar o SGSI) Estabelecer política do SGSI, objetivos, processos e procedimentosrelevantes para o gerenciamento de riscos e a melhoria da Segurança da Informação e Comunicação para entregar resultados conforme as políticas globaisde uma organização e objetivos. Implementar e operar a política do SGSI eprocedimentos., controles, processos Avaliar e, onde aplicável, medir o desempenho de um processo contraa política do SGSI, objetivos e experiência prática e relatar osresultados para a gerência para revisão. Tomar as ações corretivas e preventivas, baseado nos resultados daauditoria interna do SGSI e revisão gerencial ou outra informaçãopertinente, para alcançar a melhoria contínua do SGSI.
PROCESSOS (Modelo do PDCA aplicado ao SGSI)
CONTROLES Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem depedendo da legislação aplicável: Proteção de dados e privacidade de informações pessoais. A.15.1.4 Proteção de dados e privacidade da informação pessoal A privacidade e a proteção de dados devem ser asseguradas conforme exigido nas legislações relevantes, regulamentações e, se aplicável, nas cláusulas contratuais. Proteção de registros Organizacionais. A.15.1.3 Proteção de registros Organizacionais Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio.
CONTROLES Direitos de propriedade intelectual. A.15.1.2 Direitos de propriedade intelectual Procedimentos apropriados devem ser implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relação aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietários.
CONTROLES Os controles práticas para a Segurança da Informação incluem: Documento da política de segurança da informação. A.5.1.1 Documento de política de segurança da informação Um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. Atribuição de responsabilidades para a segurança da informação. A.6.1.3 Atribuição de responsabilidades para a segurança da informação Todas as responsabilidades pela segurança da informação devem estar claramente definidas.
CONTROLES Conscientização, educação e treinamento em segurança da informação. A.8.2.2 Conscientização, educação e treinamento em segurança da informação Todos os funcionários da organização e, onde pertinente, fornecedores e terceiros devem receber treinamento apropriado em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais relevantes para as suas funções.
CONTROLES Processamento correto nas aplicações. A.12.2 Objetivo: Prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações. A.12.2.1 A.12.2.2 A.12.2.3 A.12.2.4 Validação dos dados de entrada do processamento interno Integridade de mensagens Validação de dados de saída Os dados de entrada de aplicações devem ser validados para garantir que são corretos e apropriados. Devem ser incorporadas, nas aplicações, checagens de validação com o objetivo de detectar qualquer corupção de informações, por erros ou por ações deliberadas. Requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações devem ser identificados e os controles apropriados devem ser identificados e implementados. Os dados de saída das aplicações devem ser validados para assegurar que o processamento das informações armazenadas está correto e é apropriado às circunstâncias.
CONTROLES Gestão de vulnerabilidades técnicas: A.12.6 Objetivo: Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas. A.12.6.1 de vulnerabilidades técnicas Deve ser obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados.
CONTROLES Gestão da continuidade do negócio (A.14): A.14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação. Objetivo: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
CONTROLES A.14.1.1 A.14.1.2 A.14.1.3 A.14.1.4 A.14.1.5 Incluindo segurança da informação no processo de gestão da continuidade de negócio de negócios e análise/avaliação de risco Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação Estrutura do plano de continuidade do negócio Testes, manutenção e reavaliação dos planos de continuidade do negócio Um processo de gestão ser desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança da informação. Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio. Uma estrutura básica dos planos de continuidade do negócio deve ser mantida para assegurar que todos planos são consistentes, para contemplar os requisitos de segurança da informação e para identificar prioridades para testes e manutenção. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.
CONTROLES Gestão da continuidade do negócio (A.14): A.14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação. Objetivo: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
CONTROLES Gestão de incidentes de segurança da informação e melhorias. A.13.2 Gestão de incidentes de segurança da informação e melhorias Objetivo: Assegurar que um enfoque consistente e seja aplicado à gestão de incidentes de segurança da informação. A.13.2.1 A.13.2.2 Responsabilidades e procedimentos Aprendendo com os incidentes de segurança da informação Responsabilidades e procedimentos de gestão devem ser estabelececidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação. Devem ser estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quantifidados e monitorados.
CONTROLES A.13.2.3 Coleta de evidências Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), evidências devem ser coletadas, armazenadas e apresentadas em conformidade co as normas de armazenamento de evidências da jurisdição ou jurisdições pertinentes.
FIM