Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Módulo 4 Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005 1
Norma NBR ISO/IEC 27001 Índice 0 Introdução 1 Objetivo 2 Referência normativa 3 Termos e definições 4 Sistema de Gestão de Segurança da Informação 5 Responsabilidade da direção 6 Auditorias internas do SGSI 7 Análise crítica do SGSI pela direção 8 Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Princípios da OECD e desta norma Anexo C Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta norma 0 Introdução 0.1 Geral A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação SGSI. A adoção de um SGSI deve ser uma decisão estratégica para uma organização. O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização. É esperado que o SGSI e os sistemas de apoio mudem com o tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização. Por exemplo, uma situação simples requer uma solução simples. A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 2
0.2 Abordagem de processo Necessidades de SI Expectativas de SI Requisitos organizacionais Requisitos da ISO 27001 Processos da organização Entrada Atividades e recursos Clientes externos e internos atendidos em relação ao aumento da segurança da informação Saída 0.2 Abordagem de processo A) Entendimento e atendimento aos requisitos B) Valor agregado C) Resultado de desempenho e eficácia dos processos D) Melhoria contínua com base em medições objetivas A B C D E... 3
0.2 Abordagem de processo Agir Agir para melhorar continuamente o desempenho dos processos Planejar Estabelecer objetivos e processos Resultados para clientes e para a organização Verificar Monitorar/medir processos e produtos Fazer Implementar os processos 0.2 Abordagem de processo Modelo do PDCA Aplicado ao SGSI Estabelecer Partes interessadas D Implementar e operar P A Manter e melhorar Partes interessadas C Monitorar e revisar Expectativas e requisitos de segurança da informação Ciclo de desenvolvimento, manutenção e melhoria Segurança da Informação gerenciada 4
0.2 Abordagem de processo Fase planejar Definir o escopo do SGSI Definir uma política para o SGSI Definir objetivos e metas Identificar os riscos Avaliar os riscos Selecionar objetivos de controle e controles Preparar uma declaração de aplicabilidade 0.2 Abordagem de processo Fase fazer Formular um plano de tratamento de risco Implementar o plano de tratamento de risco Implementar os controles selecionados para atingir os objetivos de controle 5
0.2 Abordagem de processo Fase verificar Executar monitoramento dos processos Conduzir auditorias internas do SGSI em intervalos planejados Realizar análise críticas regulares da eficácia do SGSI Analisar criticamente os níveis de risco residual e riscos aceitáveis 0.2 Abordagem de processo Fase agir Implementar as melhorias identificadas Tomar ações corretivas e preventivas apropriadas Comunicar os resultados e ações Garantir que as melhorias atendem aos objetivos pretendidos 6
0.3 Compatibilidade com outros sistema de gestão ISO 27001 Gestão de Segurança da Informação é alinhada com: ISO 9001 Gestão da Qualidade e com ISO 14001 Gestão do Meio Ambiente e com OSHAS 18001 Gestão de Saúde e Segurança do Trabalhador Possível adaptação a sistemas já existentes na organização. 1 Objetivo 1.1 Geral A norma ISO 27001: Cobre todos os tipos de organizações. Especifica requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas. 7
1.2 Aplicação Requisitos genéricos A ISO 27001 é aplicável a qualquer organização Qualquer tipo Qualquer tamanho Qualquer produto/serviço Exclusões (itens não atendidos pela organização): Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos. Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem aceitas, e não podem comprometer a capacidade da organização de atender requisitos de segurança da informação determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. 2 Referência normativa NBR ISO/IEC 17799:2005 Tecnologia da Informação Técnicas de Segurança Código de prática para a Gestão de Segurança da Informação 8
3 Termos e definições Ativo qualquer coisa que tenha valor para a organização Disponibilidade propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade propriedade de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados Segurança da informação preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidos Evento de segurança da informação uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação 3 Termos e definições Incidente de segurança da informação um ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Sistema de Gestão de Segurança da Informação SGSI a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação Integridade propriedade de salvaguarda da exatidão e completeza de ativos Risco residual risco remanescente após o tratamento de riscos Aceitação do risco decisão de aceitar um risco Análise de riscos uso sistemático de informações para identificar fontes e estimar o risco 9
3 Termos e definições Análise/avaliação de riscos processo completo de análise e avaliação de riscos Avaliação de riscos processo de comparar o risco estimado com critérios de risco pré definidos para determinar a importância do risco Gestão de riscos atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Tratamento de risco processo de seleção e implementação de medidas para modificar um risco Declaração de aplicabilidade declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização Exercício Indique se é verdadeiro ou falso: 1 ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação SGSI. 2 ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 4 ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 ( ) Identificar e avaliar riscos estão contidos na fase fazer. 6 ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e completude de ativos. 7 ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 ( ) Risco residual não é risco remanescente após o tratamento de riscos 9 ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001. 10
Resposta Indique se é verdadeiro ou falso: 1 ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação SGSI. 2 ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo. 3 ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas orientativa) 4 ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades. 5 ( F ) Identificar e avaliar riscos estão contidos na fase fazer. (estão contidos na fase planejar ) 6 ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e completude de ativos. 7 ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas. 8 ( F ) Risco residual não é risco remanescente após o tratamento de riscos 9 ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001. Fim do módulo 4 Interpretação das cláusulas 0 a 3 da NBR ISO/IEC 27001:2005 11