Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Documentos relacionados
MATC99 Segurança e Auditoria de Sistemas de Informação

UNIP UNIVERSIDADE PAULISTA

ABNT NBR ISO/IEC 27002:2005

Código de prática para a gestão da segurança da informação

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

ISO FACULDADES INTEGRADAS DE TAQUARA FACCAT. Curso de Tecnólogo em Gestão da Qualidade.

Sistemas de gestão da qualidade Requisitos

Preparando a Implantação de um Sistema de Gestão da Qualidade

ESTRUTURA ISO 9.001:2008

Principais tópicos da norma NBR ISO/IEC 27001:2006

Estrutura da ISO DIS 9001/2015 ISO/TC 176/SC 2 Document N1224, July 2014

ECS -ASSESSORIA E CONSULTORIA TÉCNICA. ISO 14001:2015 Tendências da nova revisão

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Correspondência entre OHSAS 18001, ISO 14001:1996, ISO 9001:1994 e ISO 9001:2000

Prof. Adilson Spim Gestão da Qualidade ISO 9001:2008 1

Segurança e Auditoria de Sistemas

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES

Sistema de Gestão da Qualidade

Certificação ISO/IEC SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Gestão de Riscos de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes

Material didático ESR

Aula 05 Política de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes

AUDITORIA DE DIAGNÓSTICO

Sistemas de Gestão Ambiental O QUE MUDOU COM A NOVA ISO 14001:2004

SÉRIE ISO SÉRIE ISO 14000

ISO IEC. Normas Regionais MERCOSUL CEN COPANT. Normas Nacionais ABNT, BSI, AFNOR, DIN, JISE. Normas internas das empresas

Segurança e Auditoria de Sistemas

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

CHECK LIST DE AVALIAÇÃO DE FORNECEDORES Divisão:

Plano de Aula - Sistema de Gestão da Qualidade - cód Horas/Aula

NBR ISO/IEC CONCEITOS BÁSICOS

Universidade Paulista

CRIAÇÃO DA DISCIPLINA SISTEMA DE GESTÃO AMBIENTAL NO CURSO DE ENGENHARIA CIVIL

Resumo das Interpretações Oficiais do TC 176 / ISO

ISO NAS PRAÇAS. Oficina ISO Formulação da Política da Qualidade. Julho/2011

SISTEMAS INTEGRADOS DE GESTÃO PAS 99:2006. Especificação de requisitos comuns de sistemas de gestão como estrutura para a integração

ECS -ASSESSORIA E CONSULTORIA TÉCNICA. ISO 9001:2015 Tendências da nova revisão

Matrizes de Correlaça o ISO 9001:2008 e ISO 9001:2015

Abordagens. Ao redor do computador. Ao redor do computador. Auditoria de Sistemas de Informação. Everson Santos Araujo

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

F.1 Gerenciamento da integração do projeto

Modulo de Padronização e Qualidade Formação Técnica em Administração

Introdução à ISO 9001:2015

CHECK - LIST - ISO 9001:2000

Módulo 2. Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos 0, 1, 2, 3 e 4/4, Exercícios

ISO Prof. William da Cruz Sinotti

NORMA NBR ISO 9001:2008

P 2: Quais os limites entre aspectos relativos ao meio ambiente e à segurança?

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

GERENCIAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Difusão da Certificação ISO 9001 da Embrapa Meio Ambiente

livros indicados e / ou recomendados

Implantação e Implementação de um Sistema de Gestão da Qualidade no Processo de Produção de Materiais de Referência Certificados

ABNT NBR ISO 9001:2008

SISTEMA DE GESTÃO AMBIENTAL: ISO Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM

DRAFT ISO 9001:2015. Fabio Alves 28/10/2013 CLIENT LOGO. DNV Business Assurance. All rights reserved.

Relatório de Atividade Técnica

NORMA NBR ISO 9001:2008

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

- Revisão das normas ISO 9000 para o ano

FORMAÇÃO DE AVALIADORES DE SGI PELAS NORMAS DE GESTÃO DE QUALIDADE, SMS E RESPONSABILIDADE SOCIAL

Mapeamento entre os requisitos da ISO 9001:2008 e da ISO FDIS 9001:2015 Guia de Mapeamento

Transcrição:

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009

Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 2

Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 3

O que é informação? Ativo que, como todo ativo importante do negócio, tem valor para a organização e necessita ser devidamente protegido ABNT NBR ISO/IEC 17799:2005 16 de janeiro de 2009 4

Tipos de Informação Falada Armazenada (meios eletrônicos ou não) Emitida (procedimento) Fotografada Lida, escrita, impressa Transmitida Filmada, etc...... Não importa a forma que a informação tome, ou os meios pelos quais é compartilhada ou armazenada, convém que seja sempre apropriadamente protegida. ABNT NBR ISO/IEC 17799:2005 16 de janeiro de 2009 5

Ameaças, Vulnerabilidades e Riscos Ameaça Identificação e avaliação da possibilidade de eventos acidentais ou não desejados impactarem a infra estrutura de TI. Variam em severidade. Vulnerabilidade Fatores que tornam a infra estrutura de TI suscetível à ameaças. Risco Probabilidade da ocorrência da exploração de uma vulnerabilidade por uma ameaça. Variam em probabilidade e tem grau de perda. 16 de janeiro de 2009 6

Ameaças à Seg. Informação Pessoas (funcionários, visitantes) Redes crescentes de computação E-mails Baixa consciência sobre questões de segurança Complexidade crescente da eficácia de hackers e vírus Falta ou negligência de políticas de segurança Sistemas falhos de gestão de segurança Fogo, inundações, terremotos, Al Qaeda etc 16 de janeiro de 2009 7

Elementos Centrais da SI Informação acessível somente a aqueles autorizados para tal Exatidão da informação, manipulação só para os autorizados para tal Assegura o acesso à informação e recursos quando requeridos 16 de janeiro de 2009 8

Como assegurar a informação? Implementando um grupo adequado de controles: Políticas de segurança Práticas Procedimentos Estrutura organizacional Softwares adequados ABNT ISO/IEC 17799:2005 16 de janeiro de 2009 9

Sistema de Gestão de SI (SGSI) Estrutura para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a SI. ABNT ISO/IEC 27001:2006 O monitorado é medido, e o que é medido é gerenciado. 16 de janeiro de 2009 10

Elementos de um SGSI Baseado no modelo PDCA Políticas (demonstração de compromissos e princípios) Planejamento (identificação das necessidades, recursos, estrutura, responsabilidades) Implementação e operação (incluindo treinamento) Medição (não-conformidades, testes) Melhoria (ações corretivas e preventivas, melhoria contínua) Revisão 16 de janeiro de 2009 11

Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 12

Normas de Segurança ABNT ISO/IEC 27001:2006 Requisitos dos Sistemas de Gestão de Segurança da Informação (SGSI) ABNT ISO/IEC 17799:2005 Código de Prática para Gestão da Segurança da Informação 16 de janeiro de 2009 13

ISO 27001, ISO 17799 Metodologia Estruturada, reconhecida internacionalmente para garantir a SI Processo definido para validar, implementar, manter e gerenciar a SI Grupo abrangente de controles detalhados referente às melhores práticas na segurança da Informação Cobrem aspectos técnico e gerencial Gerais: não são direcionadas a produtos ou tecnologia Desenvolvidas por empresas, para empresas 16 de janeiro de 2009 14

Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 15

ABNT ISO/IEC 27001:2006 Baseada na BS 7799-2:2002 Provê um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI Especifica exigências para controles de segurança a serem implementados de acordo com as necessidades individuais da organização Contém 11 seções de controle, 39 objetivos de controle e 133 controles 16 de janeiro de 2009 16

Layout da ISO 27001 0 Introdução 1 Escopo 2 Referências Normativas 3 Termos e Definições 4 Sistema de Gestão de Segurança da Informação 5 Responsabilidade da Direção 6 Auditorias Internas do SGSI 7 Revisão Estratégica do SGSI 8 Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Princípios da OECD e sua relação com esta norma Anexo C Correspondências entre ISO 9001:2000, ISO 14001:2004 e esta norma Bibliografia 16 de janeiro de 2009 17

Benefícios da 27001 Oportunidade de identificar e corrigir fraquezas Comprometimento da Alta Direção: liderança no processo de segurança da Informação Revisão independente do próprio SGSI Reduzir a responsabilidade devido às políticas e procedimentos não implementados Segurança aos órgãos parceiros/cidadãos Melhor conscientização da segurança Recursos combinados com outros sistemas de Gestão Mecanismos para medir o sucesso do sistema 16 de janeiro de 2009 18

Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 19

ABNT ISO/IEC 17799:2005 Baseada na BS 7799-1:1999 Referência normativa obrigatória para a ISO 27001 Pretendida para o uso como um documento de referência Apresenta um conjunto detalhado de controles de segurança Baseada nas melhores práticas da segurança da Informação Constituída de 11 seções de controle, 39 objetivos de controle e 133 controles Não é objeto de certificação ou auditoria, apenas um guia de melhores práticas 16 de janeiro de 2009 20

Layout da ISO 17799 0 Introdução 1 Escopo 2 Termos e Definições 3 Estrutura da Norma 4 Análise/Avaliação e Tratamento de Riscos Cláusulas 5 a 15: Objetivos de controle e controles Bibliografia Índice 16 de janeiro de 2009 21

A série 27000 ISO/IEC 27000 Princípios e vocabulários ISO/IEC 27001 SGSI: Requisitos ISO/IEC 27002 Renomeação da ISO/IEC 17799 (abril/2007) ISO/IEC 27003 Guia de Implementação de SGSI ISO/IEC 27004 Métricas e medições para a Gestão da Segurança da Informação em desenvolvimento (2008) ISO/IEC 27005 Gestão de Risco para SGSI 16 de janeiro de 2009 22

Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 23

Objetivos de Controle 11 Seções de objetivos de Controle, cada uma com seus objetivos de controle e a descrição dos controles respectivos 16 de janeiro de 2009 24

Objetivos de Controle Exemplo 1 16 de janeiro de 2009 25

Objetivos de Controle Exemplo 2 16 de janeiro de 2009 26

Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 27

Implementação da 27001(1) 16 de janeiro de 2009 28

Implementação da 27001(2) 16 de janeiro de 2009 29

Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 30

Certificação em 27001 Sob Conclusão bem sucedida Contínua (a cada 6 meses) Re-auditoria (a cada 3 anos) 16 de janeiro de 2009 31

Certificação 27001 Fatores Críticos de Sucesso A política de segurança deve refletir os objetivos de negócio Implementação consistente com a cultura da companhia Apoio e compromisso visíveis da alta direção Comunicação efetiva da segurança para todos os envolvidos Bom entendimento das exigências de segurança, avaliações e tratamento de riscos 16 de janeiro de 2009 32

Certificação 27001 Fatores Críticos de Sucesso Divulgação e orientação da política de SI e normas para todos os servidores e membros e sub contratados Fornecer treinamento e educação apropriados Utilizar sistema de medição adequado para avaliação do desempenho da gestão de SI e identificação das oportunidades de melhoria 16 de janeiro de 2009 33

Análise e Tratamento de Risco 16 de janeiro de 2009 34

Desafios para o MPGO Análise abrangente de riscos de todos os serviços oferecidos Formalização do Comitê de Segurança com a alta administração Treinamento, comprometimento e adesão dos usuários às políticas de segurança Integração das áreas de TI com os objetivos de SI Treinamento técnico nas ferramentas de controle de segurança 16 de janeiro de 2009 35

Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão geral da Norma ABNT:ISO 27001 Visão geral da Norma ABNT:ISO 17799 Objetivos de controle Implementação das normas Processo de Certificação na ISO 27001 16 de janeiro de 2009 36

Perguntas? 16 de janeiro de 2009 37

Danke Schön! Ramon Gomes Brandão ramongb@mp.go.gov.br Seção de Segurança da Informação Depto. de Segurança e Adm. de Dados 16 de janeiro de 2009 38

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback