MATC99 Segurança e Auditoria de Sistemas de Informação

Documentos relacionados
Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Principais tópicos da norma NBR ISO/IEC 27001:2006

Segurança e Auditoria de Sistemas

ESTRUTURA ISO 9.001:2008

ISO FACULDADES INTEGRADAS DE TAQUARA FACCAT. Curso de Tecnólogo em Gestão da Qualidade.

Correspondência entre OHSAS 18001, ISO 14001:1996, ISO 9001:1994 e ISO 9001:2000

Certificação ISO/IEC SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

UNIP UNIVERSIDADE PAULISTA

Sistemas de Gestão Ambiental O QUE MUDOU COM A NOVA ISO 14001:2004

Gestão Ambiental. Aula 5 Prof. Pablo Bosco

CRIAÇÃO DA DISCIPLINA SISTEMA DE GESTÃO AMBIENTAL NO CURSO DE ENGENHARIA CIVIL

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

1. Esta Política Institucional de Gestão de Continuidade de Negócios:

AUDITORIA DE DIAGNÓSTICO

Preparando a Implantação de um Sistema de Gestão da Qualidade

ECS -ASSESSORIA E CONSULTORIA TÉCNICA. ISO 14001:2015 Tendências da nova revisão

CÓPIA NÃO CONTROLADA. DOCUMENTO CONTROLADO APENAS EM FORMATO ELETRÔNICO. PSQ PROCEDIMENTO DO SISTEMA DA QUALIDADE

Material didático ESR

Sistemas de gestão da qualidade Requisitos

Sistema de Gestão da Qualidade

SISTEMA DE GESTÃO AMBIENTAL: ISO Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM

PÁGINA 4 ITIL V.2 & ITIL V.3

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

Código de prática para a gestão da segurança da informação

Gestão Ambiental e Responsabilidade Social. O Sistema de Gestão Ambiental. Aula 3. Vídeo. Contextualização. O que é um Sistema de Gestão?

ISO Prof. William da Cruz Sinotti

Estrutura da ISO DIS 9001/2015 ISO/TC 176/SC 2 Document N1224, July 2014

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010

ABNT NBR ISO/IEC 27002:2005

Plano de Aula - Sistema de Gestão da Qualidade - cód Horas/Aula

CHECK - LIST - ISO 9001:2000

Rede TSQC / SOFTEX Workshop de Aquisição de software Guia de Aquisição MPS.BR

Gerenciamento de Problemas

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014

QUALIDADE DE SOFTWARE

Matrizes de Correlaça o ISO 9001:2008 e ISO 9001:2015

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SÉRIE ISO SÉRIE ISO 14000

Enviado por em 19/12/11. Recebido por

Sistemas e Instrumentos de Gestão Ambiental

1. Esta Política institucional de gestão de continuidade de negócios:

CHECK LIST DE AVALIAÇÃO DE FORNECEDORES Divisão:

Difusão da Certificação ISO 9001 da Embrapa Meio Ambiente

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

Processo de Implementação de um Sistema de Gestão da Qualidade

FORMAÇÃO DE AVALIADORES DE SGI PELAS NORMAS DE GESTÃO DE QUALIDADE, SMS E RESPONSABILIDADE SOCIAL

APRESENTAÇÃO. Sistema de Gestão Ambiental - SGA & Certificação ISO SGA & ISO UMA VISÃO GERAL

NORMA TÉCNICA - DEFINIÇÃO INTERNACIONAL

SISTEMA DE GESTÃO AMBIENTAL ABNT NBR ISO 14001

SISTEMA DE GESTÃO DA QUALIDADE E AMBIENTAL ISO 9001: ISO 14001:2004

SEGURANÇA, MEIO AMBIENTE E SAÚDE

PROCEDIMENTO SISTÊMICO DA QUALIDADE

Roteiro SENAC. Análise de Riscos. Monitoramento e Controle de Riscos. Monitoramento e Controle de Riscos. Monitoramento e Controle de Riscos

livros indicados e / ou recomendados

CBG Centro Brasileiro de Gestão

SGQ 22/10/2010. Sistema de Gestão da Qualidade. Gestão da Qualidade Qualquer atividade coordenada para dirigir e controlar uma organização para:

Certificação. Segurança e Saúde no Trabalho. Soluções para a Gestão da Segurança e Saúde no Trabalho

MUDANÇAS NA ISO 9001: A VERSÃO 2015

SUMÁRIO ÍNDICE. 1 Objetivo: 3. 2 Aplicação e Alcance: 3. 3 Referências: 3. 4 Definições e Abreviaturas: 4. 5 Responsabilidades: 5.

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Segurança da Informação ISO/IEC ISO/IEC 27002

SISTEMAS INTEGRADOS DE GESTÃO. Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012

Módulo 3. Estrutura da norma ISO Sistemas de Gestão da Qualidade Requisitos Requisitos 4.2, 5.1, 5.2 e 5.3 Exercícios

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

P 2: Quais os limites entre aspectos relativos ao meio ambiente e à segurança?

SUMÁRIO ÍNDICE. 1 Objetivo: 3. 2 Aplicação e Alcance: 3. 3 Referências: 3. 4 Definições e Abreviaturas: 3. 5 Responsabilidades: 3.

BANCO CENTRAL DO BRASIL 2009/2010

Procedimento Sistêmico N⁰ do procedimento: PS 03

Transcrição:

MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO 27001 e 27002) Italo Valcy <italo@dcc.ufba.br> Italo Valcy Seg e Auditoria de SI, 2013.1

Licença de uso e distribuição Este material foi baseado nas aulas do Prof Marcos Dosea / UFS, disponiveis em:http://www.campusitabaiana.ufs.br/dsi Italo Valcy Seg e Auditoria de SI, 2013.1 2 / 27

Introdução BS 7799-2:2002 >> ISO/IEC 27001:2005 Implantar um SGSI (Sistema de Gestão de Segurança da Informação) BS 7799:1995 >> ISO/IEC 17799:2000 >> ISO/IEC 27002:2005 Código de Práticas para Gestão de Segurança da Informação. 27004 e 27003: Gestão de SI (Medição) e Guia de Impl. SGSI 27006 e 27007: Requisitos e diretrizes para Auditoria de um SGSI 15999:1 e 15999:2 Gestão de continuidade de negócios (código de pratica e requisitos) Italo Valcy Seg e Auditoria de SI, 2013.1 3 / 27

ISO/IEC 27001 Prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação. Avaliar a conformidade por partes interessadas internas e externas. Italo Valcy Seg e Auditoria de SI, 2013.1 4 / 27

Estrutura do modelo ISO 27001 Adota o ciclo PDCA (Plan-Do-Ckeck-Act) também conhecido como ciclo de Deming. Italo Valcy Seg e Auditoria de SI, 2013.1 5 / 27

Estrutura do modelo ISO 27001 Organização deve entender os requisitos de segurança e a necessidade de estabelecer uma política e objetivos de segurança da informação. Italo Valcy Seg e Auditoria de SI, 2013.1 6 / 27

Estrutura do modelo ISO 27001 Implementar e operar controles para gerenciar os riscos de segurança da informação. Italo Valcy Seg e Auditoria de SI, 2013.1 7 / 27

Estrutura do modelo ISO 27001 Monitorar e rever o desempenho e a eficácia do SGSI. Italo Valcy Seg e Auditoria de SI, 2013.1 8 / 27

Estrutura do modelo ISO 27001 Prover a melhoria contínua com base em medições objetivas. Italo Valcy Seg e Auditoria de SI, 2013.1 9 / 27

Norma ISO/IEC 27001 Introdução Objetivo Referencia normativa Termos e definições Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Anexos A (normativo objetivos de controle e controle 27002), B e C (informativos) Italo Valcy Seg e Auditoria de SI, 2013.1 10 / 27

SGSI A Organização deve definir a política para o SGSI, o escopo e os limites. Deve identificar, analisar e avaliar os riscos. Selecionar os objetivos de controle e os controles para o tratamento do risco. Formular e implementar um plano de tratamento de riscos que identifique ações gerenciais, recursos, responsabilidades e prioridades. Italo Valcy Seg e Auditoria de SI, 2013.1 11 / 27

SGSI Deve definir procedimentos de controle para medir a eficácia dos controles ou grupos de controle. Implementar programas de treinamento e de conscientização. Realizar revisões periódicas de eficácia do SGSI e rever os riscos residuais não tratados. Conduzir auditorias internas do SGSI em intervalos planejados. Italo Valcy Seg e Auditoria de SI, 2013.1 12 / 27

SGSI Atualizar os planos de segurança, levando em consideração os resultados do monitoramento. Tomar ações corretivas e preventivas comunicando-as aos interessados. Italo Valcy Seg e Auditoria de SI, 2013.1 13 / 27

NBR ISO/IEC 27001 Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, 2013.1 14 / 27

Responsabilidade da administração Deve estabelecer a política para o SGSI Assegurar que os objetivos e planos foram estabelecidos. Estabelecer papéis e responsabilidades. Comunicar a organização acerca da importância de atender os objetivos e políticas. Italo Valcy Seg e Auditoria de SI, 2013.1 15 / 27

Responsabilidade da administração Prover recursos suficientes para implementar, operar, monitorar, rever, manter e melhorar o SGSI. Garantir a competência do pessoal para desempenhar as atividades requeridas. Italo Valcy Seg e Auditoria de SI, 2013.1 16 / 27

NBR ISO/IEC 27001 Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, 2013.1 17 / 27

Auditorias Internas Conformidade com requisitos da norma e demais requisitos legais e regulatórios. Conformidade com requisitos de segurança da informação identificados. Estão implementados e mantidos de forma efetiva. Estão sendo desempenhados como esperado. Italo Valcy Seg e Auditoria de SI, 2013.1 18 / 27

NBR ISO/IEC 27001 Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, 2013.1 19 / 27

Revisão do SGSI pela Administração Deve revisar o SGSI pelo menos uma vez por ano, para assegurar sua contínua adequação e eficácia. Deve considerar: resultado das auditorias Feedback das partes interessadas Status das ações corretivas e preventivas Vulnerabilidades e ameaças não tratadas Mudanças nos requisitos e recomendações de melhoria. Italo Valcy Seg e Auditoria de SI, 2013.1 20 / 27

NBR ISO/IEC 27001 Sistema de Gestão da Segurança da Informação (SGSI) Responsabilidade da Administração Auditorias Internas Revisão do SGSI pela Administração A Melhoria do SGSI Italo Valcy Seg e Auditoria de SI, 2013.1 21 / 27

A melhoria do SGSI A melhoria contínua da eficácia do SGSI deve ser realizada através do uso: Política de Segurança da Informação Objetivos de Segurança da Informação Resultados de Auditoria Análise de Eventos Monitorados Ações Corretivas e Preventivas Revisões gerenciais. Italo Valcy Seg e Auditoria de SI, 2013.1 22 / 27

ISO/IEC 27002 Italo Valcy Seg e Auditoria de SI, 2013.1 23 / 27

Estrutura da norma 27002 Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física do Ambiente Gestão das Operações e Comunicações Controle de Acesso Aquisição, Desenvolvimento e Manutenção de Sistemas. Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Conformidade. Italo Valcy Seg e Auditoria de SI, 2013.1 24 / 27

Política de Segurança da Informação É a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. Italo Valcy Seg e Auditoria de SI, 2013.1 25 / 27

Política de Segurança da Informação Orientar, por meio de suas diretrizes, todas as ações de segurança, para redução de riscos e garantir a integridade, sigilo e disponibilidade das informações dos sistemas de informação e recursos; Permitir a adoção de soluções de segurança integradas; Servir de referência para auditoria, apuração e avaliação de responsabilidades Italo Valcy Seg e Auditoria de SI, 2013.1 26 / 27

Exercício Pesquisar 3 políticas de segurança de instituições diferentes: Verificar pontos comuns Verificar escopo de abrangência de cada um Verificar pontos de divergência Italo Valcy Seg e Auditoria de SI, 2013.1 27 / 27

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback