MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO 27001 e 27002) Italo Valcy <italo@dcc.ufba.br> Italo Valcy Seg e Auditoria de SI, 2013.1
Licença de uso e distribuição Este material foi baseado nas aulas do Prof Marcos Dosea / UFS, disponiveis em:http://www.campusitabaiana.ufs.br/dsi Italo Valcy Seg e Auditoria de SI, 2013.1 2 / 27
Introdução BS 7799-2:2002 >> ISO/IEC 27001:2005 Implantar um SGSI (Sistema de Gestão de Segurança da Informação) BS 7799:1995 >> ISO/IEC 17799:2000 >> ISO/IEC 27002:2005 Código de Práticas para Gestão de Segurança da Informação. 27004 e 27003: Gestão de SI (Medição) e Guia de Impl. SGSI 27006 e 27007: Requisitos e diretrizes para Auditoria de um SGSI 15999:1 e 15999:2 Gestão de continuidade de negócios (código de pratica e requisitos) Italo Valcy Seg e Auditoria de SI, 2013.1 3 / 27
ISO/IEC 27001 Prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação. Avaliar a conformidade por partes interessadas internas e externas. Italo Valcy Seg e Auditoria de SI, 2013.1 4 / 27
Estrutura do modelo ISO 27001 Adota o ciclo PDCA (Plan-Do-Ckeck-Act) também conhecido como ciclo de Deming. Italo Valcy Seg e Auditoria de SI, 2013.1 5 / 27
Estrutura do modelo ISO 27001 Organização deve entender os requisitos de segurança e a necessidade de estabelecer uma política e objetivos de segurança da informação. Italo Valcy Seg e Auditoria de SI, 2013.1 6 / 27
Estrutura do modelo ISO 27001 Implementar e operar controles para gerenciar os riscos de segurança da informação. Italo Valcy Seg e Auditoria de SI, 2013.1 7 / 27
Estrutura do modelo ISO 27001 Monitorar e rever o desempenho e a eficácia do SGSI. Italo Valcy Seg e Auditoria de SI, 2013.1 8 / 27
Estrutura do modelo ISO 27001 Prover a melhoria contínua com base em medições objetivas. Italo Valcy Seg e Auditoria de SI, 2013.1 9 / 27
Norma ISO/IEC 27001 Introdução Objetivo Referencia normativa Termos e definições Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Anexos A (normativo objetivos de controle e controle 27002), B e C (informativos) Italo Valcy Seg e Auditoria de SI, 2013.1 10 / 27
SGSI A Organização deve definir a política para o SGSI, o escopo e os limites. Deve identificar, analisar e avaliar os riscos. Selecionar os objetivos de controle e os controles para o tratamento do risco. Formular e implementar um plano de tratamento de riscos que identifique ações gerenciais, recursos, responsabilidades e prioridades. Italo Valcy Seg e Auditoria de SI, 2013.1 11 / 27
SGSI Deve definir procedimentos de controle para medir a eficácia dos controles ou grupos de controle. Implementar programas de treinamento e de conscientização. Realizar revisões periódicas de eficácia do SGSI e rever os riscos residuais não tratados. Conduzir auditorias internas do SGSI em intervalos planejados. Italo Valcy Seg e Auditoria de SI, 2013.1 12 / 27
SGSI Atualizar os planos de segurança, levando em consideração os resultados do monitoramento. Tomar ações corretivas e preventivas comunicando-as aos interessados. Italo Valcy Seg e Auditoria de SI, 2013.1 13 / 27
NBR ISO/IEC 27001 Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, 2013.1 14 / 27
Responsabilidade da administração Deve estabelecer a política para o SGSI Assegurar que os objetivos e planos foram estabelecidos. Estabelecer papéis e responsabilidades. Comunicar a organização acerca da importância de atender os objetivos e políticas. Italo Valcy Seg e Auditoria de SI, 2013.1 15 / 27
Responsabilidade da administração Prover recursos suficientes para implementar, operar, monitorar, rever, manter e melhorar o SGSI. Garantir a competência do pessoal para desempenhar as atividades requeridas. Italo Valcy Seg e Auditoria de SI, 2013.1 16 / 27
NBR ISO/IEC 27001 Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, 2013.1 17 / 27
Auditorias Internas Conformidade com requisitos da norma e demais requisitos legais e regulatórios. Conformidade com requisitos de segurança da informação identificados. Estão implementados e mantidos de forma efetiva. Estão sendo desempenhados como esperado. Italo Valcy Seg e Auditoria de SI, 2013.1 18 / 27
NBR ISO/IEC 27001 Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, 2013.1 19 / 27
Revisão do SGSI pela Administração Deve revisar o SGSI pelo menos uma vez por ano, para assegurar sua contínua adequação e eficácia. Deve considerar: resultado das auditorias Feedback das partes interessadas Status das ações corretivas e preventivas Vulnerabilidades e ameaças não tratadas Mudanças nos requisitos e recomendações de melhoria. Italo Valcy Seg e Auditoria de SI, 2013.1 20 / 27
NBR ISO/IEC 27001 Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, 2013.1 21 / 27
A melhoria do SGSI A melhoria contínua da eficácia do SGSI deve ser realizada através do uso: Política de Segurança da Informação Objetivos de Segurança da Informação Resultados de Auditoria Análise de Eventos Monitorados Ações Corretivas e Preventivas Revisões gerenciais. Italo Valcy Seg e Auditoria de SI, 2013.1 22 / 27
ISO/IEC 27002 Italo Valcy Seg e Auditoria de SI, 2013.1 23 / 27
Estrutura da norma 27002 Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física do Ambiente Gestão das Operações e Comunicações Controle de Acesso Aquisição, Desenvolvimento e Manutenção de Sistemas. Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Conformidade. Italo Valcy Seg e Auditoria de SI, 2013.1 24 / 27
Política de Segurança da Informação É a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. Italo Valcy Seg e Auditoria de SI, 2013.1 25 / 27
Política de Segurança da Informação Orientar, por meio de suas diretrizes, todas as ações de segurança, para redução de riscos e garantir a integridade, sigilo e disponibilidade das informações dos sistemas de informação e recursos; Permitir a adoção de soluções de segurança integradas; Servir de referência para auditoria, apuração e avaliação de responsabilidades Italo Valcy Seg e Auditoria de SI, 2013.1 26 / 27
Exercício Pesquisar 3 políticas de segurança de instituições diferentes: Verificar pontos comuns Verificar escopo de abrangência de cada um Verificar pontos de divergência Italo Valcy Seg e Auditoria de SI, 2013.1 27 / 27