Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009
Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 2
Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 3
O que é informação? Ativo que, como todo ativo importante do negócio, tem valor para a organização e necessita ser devidamente protegido ABNT NBR ISO/IEC 17799:2005 16 de janeiro de 2009 4
Tipos de Informação Falada Armazenada (meios eletrônicos ou não) Emitida (procedimento) Fotografada Lida, escrita, impressa Transmitida Filmada, etc...... Não importa a forma que a informação tome, ou os meios pelos quais é compartilhada ou armazenada, convém que seja sempre apropriadamente protegida. ABNT NBR ISO/IEC 17799:2005 16 de janeiro de 2009 5
Ameaças, Vulnerabilidades e Riscos Ameaça Identificação e avaliação da possibilidade de eventos acidentais ou não desejados impactarem a infra estrutura de TI. Variam em severidade. Vulnerabilidade Fatores que tornam a infra estrutura de TI suscetível à ameaças. Risco Probabilidade da ocorrência da exploração de uma vulnerabilidade por uma ameaça. Variam em probabilidade e tem grau de perda. 16 de janeiro de 2009 6
Ameaças à Seg. Informação Pessoas (funcionários, visitantes) Redes crescentes de computação E-mails Baixa consciência sobre questões de segurança Complexidade crescente da eficácia de hackers e vírus Falta ou negligência de políticas de segurança Sistemas falhos de gestão de segurança Fogo, inundações, terremotos, Al Qaeda etc 16 de janeiro de 2009 7
Elementos Centrais da SI Informação acessível somente a aqueles autorizados para tal Exatidão da informação, manipulação só para os autorizados para tal Assegura o acesso à informação e recursos quando requeridos 16 de janeiro de 2009 8
Como assegurar a informação? Implementando um grupo adequado de controles: Políticas de segurança Práticas Procedimentos Estrutura organizacional Softwares adequados ABNT ISO/IEC 17799:2005 16 de janeiro de 2009 9
Sistema de Gestão de SI (SGSI) Estrutura para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a SI. ABNT ISO/IEC 27001:2006 O monitorado é medido, e o que é medido é gerenciado. 16 de janeiro de 2009 10
Elementos de um SGSI Baseado no modelo PDCA Políticas (demonstração de compromissos e princípios) Planejamento (identificação das necessidades, recursos, estrutura, responsabilidades) Implementação e operação (incluindo treinamento) Medição (não-conformidades, testes) Melhoria (ações corretivas e preventivas, melhoria contínua) Revisão 16 de janeiro de 2009 11
Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 12
Normas de Segurança ABNT ISO/IEC 27001:2006 Requisitos dos Sistemas de Gestão de Segurança da Informação (SGSI) ABNT ISO/IEC 17799:2005 Código de Prática para Gestão da Segurança da Informação 16 de janeiro de 2009 13
ISO 27001, ISO 17799 Metodologia Estruturada, reconhecida internacionalmente para garantir a SI Processo definido para validar, implementar, manter e gerenciar a SI Grupo abrangente de controles detalhados referente às melhores práticas na segurança da Informação Cobrem aspectos técnico e gerencial Gerais: não são direcionadas a produtos ou tecnologia Desenvolvidas por empresas, para empresas 16 de janeiro de 2009 14
Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 15
ABNT ISO/IEC 27001:2006 Baseada na BS 7799-2:2002 Provê um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI Especifica exigências para controles de segurança a serem implementados de acordo com as necessidades individuais da organização Contém 11 seções de controle, 39 objetivos de controle e 133 controles 16 de janeiro de 2009 16
Layout da ISO 27001 0 Introdução 1 Escopo 2 Referências Normativas 3 Termos e Definições 4 Sistema de Gestão de Segurança da Informação 5 Responsabilidade da Direção 6 Auditorias Internas do SGSI 7 Revisão Estratégica do SGSI 8 Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Princípios da OECD e sua relação com esta norma Anexo C Correspondências entre ISO 9001:2000, ISO 14001:2004 e esta norma Bibliografia 16 de janeiro de 2009 17
Benefícios da 27001 Oportunidade de identificar e corrigir fraquezas Comprometimento da Alta Direção: liderança no processo de segurança da Informação Revisão independente do próprio SGSI Reduzir a responsabilidade devido às políticas e procedimentos não implementados Segurança aos órgãos parceiros/cidadãos Melhor conscientização da segurança Recursos combinados com outros sistemas de Gestão Mecanismos para medir o sucesso do sistema 16 de janeiro de 2009 18
Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 19
ABNT ISO/IEC 17799:2005 Baseada na BS 7799-1:1999 Referência normativa obrigatória para a ISO 27001 Pretendida para o uso como um documento de referência Apresenta um conjunto detalhado de controles de segurança Baseada nas melhores práticas da segurança da Informação Constituída de 11 seções de controle, 39 objetivos de controle e 133 controles Não é objeto de certificação ou auditoria, apenas um guia de melhores práticas 16 de janeiro de 2009 20
Layout da ISO 17799 0 Introdução 1 Escopo 2 Termos e Definições 3 Estrutura da Norma 4 Análise/Avaliação e Tratamento de Riscos Cláusulas 5 a 15: Objetivos de controle e controles Bibliografia Índice 16 de janeiro de 2009 21
A série 27000 ISO/IEC 27000 Princípios e vocabulários ISO/IEC 27001 SGSI: Requisitos ISO/IEC 27002 Renomeação da ISO/IEC 17799 (abril/2007) ISO/IEC 27003 Guia de Implementação de SGSI ISO/IEC 27004 Métricas e medições para a Gestão da Segurança da Informação em desenvolvimento (2008) ISO/IEC 27005 Gestão de Risco para SGSI 16 de janeiro de 2009 22
Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 23
Objetivos de Controle 11 Seções de objetivos de Controle, cada uma com seus objetivos de controle e a descrição dos controles respectivos 16 de janeiro de 2009 24
Objetivos de Controle Exemplo 1 16 de janeiro de 2009 25
Objetivos de Controle Exemplo 2 16 de janeiro de 2009 26
Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 27
Implementação da 27001(1) 16 de janeiro de 2009 28
Implementação da 27001(2) 16 de janeiro de 2009 29
Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 30
Certificação em 27001 Sob Conclusão bem sucedida Contínua (a cada 6 meses) Re-auditoria (a cada 3 anos) 16 de janeiro de 2009 31
Certificação 27001 Fatores Críticos de Sucesso A política de segurança deve refletir os objetivos de negócio Implementação consistente com a cultura da companhia Apoio e compromisso visíveis da alta direção Comunicação efetiva da segurança para todos os envolvidos Bom entendimento das exigências de segurança, avaliações e tratamento de riscos 16 de janeiro de 2009 32
Certificação 27001 Fatores Críticos de Sucesso Divulgação e orientação da política de SI e normas para todos os servidores e membros e sub contratados Fornecer treinamento e educação apropriados Utilizar sistema de medição adequado para avaliação do desempenho da gestão de SI e identificação das oportunidades de melhoria 16 de janeiro de 2009 33
Análise e Tratamento de Risco 16 de janeiro de 2009 34
Desafios para o MPGO Análise abrangente de riscos de todos os serviços oferecidos Formalização do Comitê de Segurança com a alta administração Treinamento, comprometimento e adesão dos usuários às políticas de segurança Integração das áreas de TI com os objetivos de SI Treinamento técnico nas ferramentas de controle de segurança 16 de janeiro de 2009 35
Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 36
Perguntas? 16 de janeiro de 2009 37
Danke Schön! Ramon Gomes Brandão ramongb@mp.go.gov.br Seção de Segurança da Informação Depto. de Segurança e Adm. de Dados 16 de janeiro de 2009 38